メールアドレスに基づいたスコープの割り当てに関するAuth0のセキュリティ情報

以下に当てはまる場合：

• ユーザーのメールアドレスに基づいてスコープを割り当てるルールを使用している。かつ

• アプリケーションが複数の接続を使用している。

スコープのセキュリティが危険にさらされている可能性があります。

Auth0では、メールアドレスは接続ごとに一意でなければなりません。しかし、アプリケーションごとには制限がありません。

したがって、ユーザーAがある接続を使用してアプリケーションにサインアップし、ユーザーBが別の接続を使用して同じメールアドレスでそのアプリケーションにサインアップすることが可能です。

この状況でルールによりメールアドレスに基づいてユーザーにスコープを割り当てると、ユーザーBには、別人であるにも関わらず、ユーザーAと同じスコープが割り当てられます。

もっとも簡単な対応策は、サインアップ後のログイン前に、ユーザーにメールアドレスの確認を要求することです。