![](/img/trans.png)
[英]Spring security with oauth2 adding additional parameters to authorization URL?
[英]Skipping Oauth 2.0 authorization using additional header param on API Request - Spring Security
我已經使用 Spring Security 在 SpringBoot API 中實現了 Oauth 2.0。 它工作正常,目前需要在檢查 header 可用性后請求額外的 header 時跳過身份驗證。 基本上客戶端會添加
skip-auth:true //示例
然后從服務器端,我們必須添加過濾器來檢查 skip-auth 值,如果它是真的,我們需要跳過授權並授予訪問資源的權限。
有沒有人有這方面的工作解決方案的經驗? 或任何可以創建此請求功能的建議方法
我認為用某種秘密 header 繞過安全性是一個非常糟糕的主意。 您可以更改他們發送固定的 BasicAuth Header 的要求嗎?
然后,您可以在 WebSecurityConfig 中的相關端點上允許 Basic-Auth。
你永遠不應該為你的后端保留后門。 這顯然是一個。 對應用程序進行簡單的反編譯或在瀏覽器中監視網絡選項卡將揭示這個看似明顯的后門。 您需要與發送需求的人合作,並要求他們定義哪些端點需要完全保護以及哪些可以匿名訪問。
可以匿名訪問的端點可以通過ROLE_ANONYMOUS
和在過濾器代理鏈中定義AnonymousAuthenticationFilter
來保護。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.