Spring OAuth2 客户端,CSRF 保护

【问题标题】:Spring OAuth2 client, CSRF protectionSpring OAuth2 客户端,CSRF 保护
【发布时间】:2016-11-12 01:41:34
【问题描述】:

我正在使用 Spring 构建 Web 应用程序。我有多个 Spring 客户端应用程序和一个 OAuth2 授权和资源服务器。最终用户首先在客户端应用程序中进行身份验证,然后客户端应用程序从资源服务器请求一些资源(在从授权服务器获取访问令牌之后),处理数据并将其返回给用户。用户还可以更改资源服务器上的数据,但只能通过客户端应用程序。为了获取资源,仅使用客户端凭据,在这种情况下,资源所有者是受信任的客户端。

在资源服务器上仅存储客户端详细信息和资源,不存储有关最终用户的信息。资源服务器不关心谁请求了资源,只是该请求来自授权的客户端应用程序。

客户端应用具有 CSRF 保护,但是否需要在授权服务器上启用 CSRF 保护?我想不出任何攻击场景,因为通信是服务器到服务器的,客户端凭据被安全存储,用户无法直接访问资源。

【问题讨论】:

    标签: java spring spring-security oauth-2.0


    【解决方案1】:

    如果您的授权服务器只能从应用程序服务器访问,我看不出您可以通过在两者上启用 CSRF 保护来产生什么兴趣。 最终用户可访问的服务器上的 CSRF 保护应该足够了。 此外,如果您的应用程序服务器上的 CSRF 保护被破坏,然后您的应用程序与您的授权服务器通信,我看不出您如何在授权服务器中检测到它,因为请求是由您的服务器完成的。

    【讨论】:

      猜你喜欢
      • 2016-09-22
      • 2014-07-12
      • 2016-08-13
      • 2012-10-22
      • 2013-06-20
      • 2016-01-12
      • 2016-09-28
      • 2018-08-22
      • 2012-06-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode