使用Spring Security和OAuth2保护Spring Rest-公开用户名/密码
[英]Securing Spring Rest with Spring Security and OAuth2 - Username/Password are exposed
问题描述
我正在从事Spring Rest项目,并使用OAuth 2.0保护这些API免受未经授权的访问。
前端:Angular.js后端:Spring Rest + Spring Security + Oauth2
一切工作正常:
1)我使用以下uri从后端使用令牌获得令牌:
.... /的OAuth /令牌?grant_type =密码&CLIENT_ID = angularapp&client_secret = angularapp&用户名= USER5 @ gmail.com&密码= USER5 @ 123
2)我从后端获得了令牌,并使用该令牌访问API。
现在的问题是,一旦我使用/ oauth / token打后端?grant_type = password&client_id = angularapp&client_secret = angularapp&username = user5 @ gmail.com&password = user5 @ 123
这个uri,这就是angular js文件页面中的全部内容,任何人都可以使用查看页面源代码来访问它们。
请提出一种在js级别隐藏这些凭据的方法,如有必要,可以在后端隐藏一些加密或任何其他实现。
我执行错误吗? 请提出正确的道路
谢谢
1 个解决方案
解决方案1
0 2016-07-18 14:36:12
答案在于JWT令牌。 不要使用URL编码。 在这种情况下,您的Auth0服务器和API服务器都共享一个秘密加密密钥。 您可以使用许多JWT框架来避免样板编码。 例如: https : //github.com/auth0/java-jwt
URL路径中的Spring Security oauth2和Angular JS令牌?
[英]Spring security oauth2 and angular JS token in URL path?
无法从angularjs获取用户名和密码到Spring Security
[英]Unable to get username and password from angularjs to spring security
Spring启动安全性,Oauth2注销,使会话无效,以便在授权服务器中完成身份验证和批准周期
[英]Spring boot Security, Oauth2 logout, invalidate session in order to go through the authentication and approval cycle in the authorization server
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Spring Security OAUTH2使用用户名/密码获取令牌
带有 Oauth2 的 Spring Boot
URL路径中的Spring Security oauth2和Angular JS令牌?
无法从angularjs获取用户名和密码到Spring Security
Spring Oauth2 +用户注册
使用Spring Security 3.2保护AngularJS SPA
Spring Security REST和Angular
Spring架构的Spring Security
Spring安全性REST API
Spring启动安全性,Oauth2注销,使会话无效,以便在授权服务器中完成身份验证和批准周期
相关标签