[英]Skipping Oauth 2.0 authorization using additional header param on API Request - Spring Security
我已經使用 Spring Security 在 SpringBoot API 中實現了 Oauth 2.0。 它工作正常,目前需要在檢查 header 可用性后請求額外的 header 時跳過身份驗證。 基本上客戶端會添加
skip-auth:true //示例
然后從服務器端,我們必須添加過濾器來檢查 skip-auth 值,如果它是真的,我們需要跳過授權並授予訪問資源的權限。
有沒有人有這方面的工作解決方案的經驗? 或任何可以創建此請求功能的建議方法
我認為用某種秘密 header 繞過安全性是一個非常糟糕的主意。 您可以更改他們發送固定的 BasicAuth Header 的要求嗎?
然后,您可以在 WebSecurityConfig 中的相關端點上允許 Basic-Auth。
你永遠不應該為你的后端保留后門。 這顯然是一個。 對應用程序進行簡單的反編譯或在瀏覽器中監視網絡選項卡將揭示這個看似明顯的后門。 您需要與發送需求的人合作,並要求他們定義哪些端點需要完全保護以及哪些可以匿名訪問。
可以匿名訪問的端點可以通過ROLE_ANONYMOUS和在過濾器代理鏈中定義AnonymousAuthenticationFilter來保護。
帶有oauth2的Spring Security將其他參數添加到授權URL?
[英]Spring security with oauth2 adding additional parameters to authorization URL?
Spring 安全 5.3.2 OAuth 2,資源所有者密碼憑證流程 - 如何將額外的 HEADER 參數添加到授權服務器 uri
[英]Spring Security 5.3.2 OAuth 2, Resource Owner Password Credentials Flow - How to add additional HEADER parameters to authorization server uri
如何通過添加其他參數來實現具有彈簧安全性的OAuth2.0
[英]How to implement OAuth2.0 with spring security by adding additional parameter
使用 Spring security oauth,使用自定義 OAuth 提供程序,我得到 [authorization_request_not_found],我應該自己處理回調方法嗎?
[英]Using Spring security oauth, using a custom OAuth provider, I get [authorization_request_not_found], should I handle the callback method myself?
使用 Spring 引導和 Spring 安全性的 OpenID (OAuth2) 授權失敗
[英]OpenID (OAuth2) Authorization failing using Spring Boot and Spring Security
Spring Security和Facebook OAuth 2.0與Graph API集成
[英]Spring Security & Facebook OAuth 2.0 Integration with Graph API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
