Spring 安全 OAuth 2 密碼授予 禁用查詢參數
[英]Spring Security OAuth 2 Password Grant Disable Query Parameters
問題描述
我正在使用spring-security-oauth2授權服務器。 我正在使用 oauth 身份驗證的密碼授予。 目前,這允許用戶發送用戶名和密碼作為查詢參數。 這是不安全的,因為密碼不受 HTTP 保護。 為了處理這個問題,我的前端通過 HTTPS 將重要信息作為請求正文的一部分發送。
我們使用springfox-swagger2生成API規范。 由於允許查詢參數,因此規范會根據需要生成這些字段,如您在此
該規范還包含一個可選的主體: 我想知道可能有什么解決方法來解決這個問題,因為我們會根據 swagger 規范自動生成 typescript 模型,並且每次我們對規范進行任何更改時,都會替換類型的任何手動前端更改。
1 個解決方案
解決方案1
0 2020-12-22 22:32:26
查詢字符串使用 HTTPS 加密,但還有其他原因不使用敏感數據的查詢參數,例如可以記錄查詢字符串的服務器日志,更多詳細信息請參見https://stackoverflow.com/a/323286/1536382
對於 rest 我不明白是什么問題,這是什么意思
由於允許查詢參數
哪里允許? 什么具體說明了這個方面?
Spring Security 5 Spring MVC Oauth 2密碼授予類型不返回帶有/ oauth / token的令牌
[英]Spring Security 5 Spring MVC Oauth 2 Password grant type not returning token with /oauth/token
在Spring Security OAuth2中使用用戶名密碼授予中的刷新令牌請求新的訪問令牌
[英]Request new access token using refresh token in username-password grant in Spring Security OAuth2
Spring 安全性 OAuth 具有密碼授權類型的 WebClient 客戶端不要求新令牌
[英]Spring Security OAuth Client for WebClient With Password Grant Type Doesn't Ask For New Token
Spring Security OAuth2請求作為對象而不是查詢參數
[英]Spring security OAuth2 request as object instead of query parameters
Spring Security和OAuth2使用自定義授權類型生成令牌
[英]Spring Security and OAuth2 generate token with custom grant type
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
oAuth2客戶端在Spring Security中使用密碼授予
Spring Security 5 OAuth2 客戶端密碼授予類型
春季安全oauth2:grant_type = password身份驗證
Spring安全性Oauth2資源所有者密碼憑證授權
Spring Security 5 Spring MVC Oauth 2密碼授予類型不返回帶有/ oauth / token的令牌
在Spring Security OAuth2中使用用戶名密碼授予中的刷新令牌請求新的訪問令牌
Spring 安全性 OAuth 具有密碼授權類型的 WebClient 客戶端不要求新令牌
Spring Security OAuth2請求作為對象而不是查詢參數
春季安全性Oauth2令牌錯誤:“缺少授權類型”
Spring Security和OAuth2使用自定義授權類型生成令牌
相關標簽