使用 Spring Security 和 OAuth2 保护 Spring Rest - 暴露用户名/密码

【问题标题】:Securing Spring Rest with Spring Security and OAuth2 - Username/Password are exposed使用 Spring Security 和 OAuth2 保护 Spring Rest - 暴露用户名/密码
【发布时间】:2014-12-21 19:14:18
【问题描述】:

我正在开发一个 spring rest 项目并使用 OAuth 2.0 来保护这些 API 免受未经授权的访问。

前端:Angular.js 后端:Spring Rest+ Spring Security + Oauth2

一切正常:

1) 我使用带有以下 uri 的 oauth 从后端获得了一个令牌:

..../oauth/token?grant_type=password&client_id=angularapp&client_secret=angularapp&username=user5@gmail.com&password=user5@123

2) 我从后端获得了一个令牌并使用该令牌访问 API。

现在我的问题是,一旦我使用 /oauth/token?grant_type=password&client_id=angularapp&client_secret=angularapp&username=user5@gmail.com&password=user5@123 访问后端

这个 uri,这一切都在 Angular js 文件的页面中,任何人都可以通过查看页面源来访问它们。

如有必要,请建议一种在 js 级别隐藏这些凭据的方法,在后端进行一些加密或任何其他实现。

我执行错了吗?请提出正确的道路

谢谢

【问题讨论】:

    标签: angularjs spring rest spring-mvc oauth


    【解决方案1】:

    答案在于 JWT 代币。不要使用 URL 编码。 在这种情况下,您的 Auth0 服务器和 API 服务器都共享一个秘密加密密钥。有很多 JWT 框架可以用来避免样板编码。例如:https://github.com/auth0/java-jwt

    【讨论】:

      猜你喜欢
      • 2015-03-23
      • 2018-08-11
      • 2014-11-03
      • 2014-07-29
      • 2015-03-09
      • 2014-02-21
      • 2015-12-09
      • 2019-07-09
      • 2016-03-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode