CVE-2024-51987丨HTTP 客户端在 Duende.AccessTokenManagement.OpenIdConnect 中刷新后使用了错误的令牌

Duende.AccessTokenManagement.OpenIdConnect是一组用于管理OAuth和OpenId Connect访问令牌的.NET库。通过`AddUserAccessTokenHttpClient`创建的HTTP客户端可能会在令牌刷新后使用不同用户的访问令牌。这种情况是因为刷新后的令牌将被捕获在池化的`HttpClient`实例中，这些实例可能会被其他用户使用。建议不要使用`AddUserAccessTokenHttpClient`来创建一个会自动将管理令牌添加到传出请求的`HttpClient`，而应使用`HttpConext.GetUserAccessTokenAsync`扩展方法或`IUserTokenManagementService.GetAccessTokenAsync`方法。这个问题已在Duende.AccessTokenManagement.OpenIdConnect 3.0.1中得到修复。建议所有用户进行升级。对于此漏洞，没有已知的解决方法。