[英]Skipping Oauth 2.0 authorization using additional header param on API Request - Spring Security
我已经使用 Spring Security 在 SpringBoot API 中实现了 Oauth 2.0。 它工作正常,目前需要在检查 header 可用性后请求额外的 header 时跳过身份验证。 基本上客户端会添加
skip-auth:true //示例
然后从服务器端,我们必须添加过滤器来检查 skip-auth 值,如果它是真的,我们需要跳过授权并授予访问资源的权限。
有没有人有这方面的工作解决方案的经验? 或任何可以创建此请求功能的建议方法
我认为用某种秘密 header 绕过安全性是一个非常糟糕的主意。 您可以更改他们发送固定的 BasicAuth Header 的要求吗?
然后,您可以在 WebSecurityConfig 中的相关端点上允许 Basic-Auth。
你永远不应该为你的后端保留后门。 这显然是一个。 对应用程序进行简单的反编译或在浏览器中监视网络选项卡将揭示这个看似明显的后门。 您需要与发送需求的人合作,并要求他们定义哪些端点需要完全保护以及哪些可以匿名访问。
可以匿名访问的端点可以通过ROLE_ANONYMOUS和在过滤器代理链中定义AnonymousAuthenticationFilter来保护。
带有oauth2的Spring Security将其他参数添加到授权URL?
[英]Spring security with oauth2 adding additional parameters to authorization URL?
Spring 安全 5.3.2 OAuth 2,资源所有者密码凭证流程 - 如何将额外的 HEADER 参数添加到授权服务器 uri
[英]Spring Security 5.3.2 OAuth 2, Resource Owner Password Credentials Flow - How to add additional HEADER parameters to authorization server uri
如何通过添加其他参数来实现具有弹簧安全性的OAuth2.0
[英]How to implement OAuth2.0 with spring security by adding additional parameter
使用 Spring security oauth,使用自定义 OAuth 提供程序,我得到 [authorization_request_not_found],我应该自己处理回调方法吗?
[英]Using Spring security oauth, using a custom OAuth provider, I get [authorization_request_not_found], should I handle the callback method myself?
使用 Spring 引导和 Spring 安全性的 OpenID (OAuth2) 授权失败
[英]OpenID (OAuth2) Authorization failing using Spring Boot and Spring Security
Spring Security和Facebook OAuth 2.0与Graph API集成
[英]Spring Security & Facebook OAuth 2.0 Integration with Graph API
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
