[英]Spring security with oauth2 adding additional parameters to authorization URL?
[英]Skipping Oauth 2.0 authorization using additional header param on API Request - Spring Security
我已经使用 Spring Security 在 SpringBoot API 中实现了 Oauth 2.0。 它工作正常,目前需要在检查 header 可用性后请求额外的 header 时跳过身份验证。 基本上客户端会添加
skip-auth:true //示例
然后从服务器端,我们必须添加过滤器来检查 skip-auth 值,如果它是真的,我们需要跳过授权并授予访问资源的权限。
有没有人有这方面的工作解决方案的经验? 或任何可以创建此请求功能的建议方法
我认为用某种秘密 header 绕过安全性是一个非常糟糕的主意。 您可以更改他们发送固定的 BasicAuth Header 的要求吗?
然后,您可以在 WebSecurityConfig 中的相关端点上允许 Basic-Auth。
你永远不应该为你的后端保留后门。 这显然是一个。 对应用程序进行简单的反编译或在浏览器中监视网络选项卡将揭示这个看似明显的后门。 您需要与发送需求的人合作,并要求他们定义哪些端点需要完全保护以及哪些可以匿名访问。
可以匿名访问的端点可以通过ROLE_ANONYMOUS
和在过滤器代理链中定义AnonymousAuthenticationFilter
来保护。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.