7.R11.P4 帳號切換後沿用高權限 token
7.R11.P4 帳號切換後沿用高權限 token
這個失效樣式的核心問題是身份切換與 token 收斂節奏不一致。當切換完成仍沿用前一身份 token,流程會形成隱性越權。
常見形成條件
- 帳號切換只更新顯示層,未同步更新授權上下文。
- 高權限 token 在切換後保持可用。
- 切換流程缺少高風險動作再驗證。
判讀訊號
- 切換後立即執行前一身份專屬操作。
- 同一 token 出現在多身份上下文。
- 會話事件在身份對齊上出現斷點。
案例觸發參考
來源流程卡
下一步路由
本失效樣式對應的實作 chain:
控制面(mitigation 在這裡定義):
演練 / 控制落地(轉成欄位):