使用Spring Security和OAuth2保護Spring Rest-公開用戶名/密碼
[英]Securing Spring Rest with Spring Security and OAuth2 - Username/Password are exposed
問題描述
我正在從事Spring Rest項目,並使用OAuth 2.0保護這些API免受未經授權的訪問。
前端:Angular.js后端:Spring Rest + Spring Security + Oauth2
一切工作正常:
1)我使用以下uri從后端使用令牌獲得令牌:
.... /的OAuth /令牌?grant_type =密碼&CLIENT_ID = angularapp&client_secret = angularapp&用戶名= USER5 @ gmail.com&密碼= USER5 @ 123
2)我從后端獲得了令牌,並使用該令牌訪問API。
現在的問題是,一旦我使用/ oauth / token打后端?grant_type = password&client_id = angularapp&client_secret = angularapp&username = user5 @ gmail.com&password = user5 @ 123
這個uri,這就是angular js文件頁面中的全部內容,任何人都可以使用查看頁面源代碼來訪問它們。
請提出一種在js級別隱藏這些憑據的方法,如有必要,可以在后端隱藏一些加密或任何其他實現。
我執行錯誤嗎? 請提出正確的道路
謝謝
1 個解決方案
解決方案1
0 2016-07-18 14:36:12
答案在於JWT令牌。 不要使用URL編碼。 在這種情況下,您的Auth0服務器和API服務器都共享一個秘密加密密鑰。 您可以使用許多JWT框架來避免樣板編碼。 例如: https : //github.com/auth0/java-jwt
URL路徑中的Spring Security oauth2和Angular JS令牌?
[英]Spring security oauth2 and angular JS token in URL path?
無法從angularjs獲取用戶名和密碼到Spring Security
[英]Unable to get username and password from angularjs to spring security
Spring啟動安全性,Oauth2注銷,使會話無效,以便在授權服務器中完成身份驗證和批准周期
[英]Spring boot Security, Oauth2 logout, invalidate session in order to go through the authentication and approval cycle in the authorization server
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring Security OAUTH2使用用戶名/密碼獲取令牌
帶有 Oauth2 的 Spring Boot
URL路徑中的Spring Security oauth2和Angular JS令牌?
無法從angularjs獲取用戶名和密碼到Spring Security
Spring Oauth2 +用戶注冊
使用Spring Security 3.2保護AngularJS SPA
Spring Security REST和Angular
Spring架構的Spring Security
Spring安全性REST API
Spring啟動安全性,Oauth2注銷,使會話無效,以便在授權服務器中完成身份驗證和批准周期
相關標簽