OAuth 在数据库中存储客户端 ID 和密码

Question

我正在阅读关于 OAuth 2.0 和 jwt 令牌的 article。有趣的部分是当作者描述client_secret时，他说：

在一个重要的实现中，客户端 ID 和密码将安全地存储在数据库中，并可通过客户端应用程序在部署期间访问的单独 API 进行检索。

现在假设我有一个 Angular 前端应用程序和一个带有 MySQL db 的 Spring 后端应用程序。

我的问题是作者所说的上述引用是什么意思。是那个吗 客户端（在这种情况下为前端应用程序）使用client_id 拨打电话 和secret（这里没有变化），但后端正在检查 提供“凭据”不是通过与存储在纯文本中的值进行比较（在 application.properties 在这种情况下），但是从收到的值和 与 db 中的哈希版本比较？

---

已编辑：

1. 用户john doe 打开log in 页面。提供凭据：username:john.doe 和 password:john1。点击sign in。
2. Angular-frontend 拦截请求，并执行一个方法（例如obtainTokenForUser()）以便为用户获取一个短期有效的 jwt 令牌。因此，angular-app 向authorization server 发送符合OAuth2.0 的请求。在发送 contant AWS KMS 以获取其 client_id 和 secret 以附加到请求之前。最后，从角度到身份验证服务器的请求如下所示：curl front-app-sp3:frnt4pP@<auth_server_ip_addr>:<auth_server_port>/oauth/token -d grant_type=password -d username=john.doe -d password=john1
3. Authorization server 联系人 AWS KMS 收到 client_id:front-app-sp3 和 client_secret:frnt4pP。它发现条目、密码匹配、验证正确。 Auth server 生成一个 JWT 令牌有效 f.e. 5 minutes。令牌由服务器使用AS_pr1v4t3 私钥签名。 Authorization server 向 Angular 应用返回一个令牌。
4. 用户已登录。用户在主应用程序中请求资源（春季），因此 Angular 添加获得的令牌并将请求发送到“Main-web 应用程序”。
5. “主网络应用程序”中的 Resource server 验证令牌。令牌正确有效。资源被退回。

Answer 1

我不认为这就是作者所指的。他正在谈论而不是在您的 application.properties 中使用 client_id 和 client_secret ，它们将存储在您的后端可以通过不同 API 访问的数据库中。我认为client_id 更多地属于 application.properties 而不是秘密管理服务。 您的前端（在本例中为 Angular 应用程序）不应访问客户端 ID 或密钥。 Angular 应用程序连接到的服务器（通过我想象的一些 REST 服务）也不应该直接访问机密，它应该通过单独的机密管理 API。 您的服务器可以拥有 @ 987654326@ 在应用程序属性中，但机密应存储在非常安全的地方。

虽然这是一个已经实现的模式。而不是直接在 app.config / application.properties 文件中包含秘密值，您应该将它们放在类似的位置：

• AWS Key Management Service
• Azure Key Vault

这些将允许您存储/更新/检索和轮换您的秘密。