簡體 English 中英

如何在使用 Bearer 令牌作為授權標頭調用資源 API 時在客戶端/瀏覽器中保存 OAuth2 訪問令牌

[英]How to save OAuth2 access token in Client / Browser when calling Resource APIs with Bearer token as Authorization Header

原文 2022-12-14 12:51:30 3 2 angular/ spring/ oauth-2.0/ jwt/ keycloak

我有一個 Angular 應用程序，我在其中使用Keycloak (OAuth2 provider) Login Page 。 在登錄頁面中使用用戶名和密碼登錄后，我將獲得授權代碼，並使用該代碼調用 Keycloak Token Generator API http://localhost:8080/realms/CloudBrokerRealm/protocol/openid-connect/token並獲得訪問權限令牌和刷新令牌成功。 在獲得令牌之前沒有問題。

現在我需要在客戶端存儲訪問和刷新令牌，以便我可以在授權標頭中發送承載訪問令牌以調用我的后端 Rest API（使用 Java、Spring Boot、Spring Security 創建的資源 API ）。

在互聯網上搜索許多鏈接后，我可以看到有些人建議將令牌存儲在 httpOnly cookie 中，而不是瀏覽器上的本地存儲或會話存儲。 但是我無法將令牌存儲在 httpOnly cookie 中，因為 Keycloak 在 Response Body 中發送令牌，而不是在調用上述 Keycloak Token Generator API 時作為 cookie。 從響應正文中提取令牌后，我無法從 javascript/angular 設置 cookie (httpOnly)，因為這是不可能的。

所以我的問題是：

如何在客戶端存儲 OAuth2 訪問和刷新令牌，這將需要調用一些后端 Rest API（資源 API），並將 Bearer Token 作為“授權”標頭。
如果我們將它存儲在 httpOnly cookie 中，我們將如何將令牌作為“授權”標頭發送，因為我們的 Rest API 將需要該強制標頭。

2 個解決方案

OAuth 2.0 for Browser Based Apps中描述了當前的最佳實踐。 6.2 節描述了 cookie 到令牌的轉換通常是如何通過前端的后端完成的。

令牌不能完全安全地存儲在瀏覽器中。 人們可能認為在 Javascript 中使用令牌的應用程序具有更大的安全問題，例如攔截和泄露令牌的方法。

SPA 的 cookie 實現通常涉及管理 cookie 和令牌之間轉換的 API 網關。 不過，它是一個額外的部署層，因此需要進行設計和規划。

網址

一種選擇是在這樣的 URL 上使用 Web 后端作為 OAuth 客戶端並發布 cookie。 這確實是一個網站，但有些人覺得這個選項最簡單：

https://www.example.com （網絡后端）

將 Web 和 API 問題分開的 SPA 解決方案可以改為使用三個這樣的 URL，它們都托管在 API 網關后面：

https://www.example.com （靜態內容）
https://www.example.com/api（API路由）
https://www.example.com/oauth （發布 cookie 的 OAuth 客戶端）

不要自己實現授權代碼（使用 PKCE）流程。 使用經過認證的 OIDC 客戶端庫。

我最喜歡的 Angular 是angular-auth-oidc-client 。

它會處理

重定向到授權服務器
交換令牌的授權碼
靜默令牌在到期前刷新
使用 Angular 路由守衛自動登錄
使用 HTTP 攔截器請求授權（請求標頭中的位置訪問令牌）
...

所有這一切只需一點點確認。

如何使用 OAuth2 客戶端憑據流在 Angular 中獲取訪問令牌

[英]How to get an access token in Angular with the OAuth2 client credentials flow

如何從 JavaScript (Angular 2/4) 中的授權標頭中檢索承載令牌？

[英]How to retrieve a Bearer Token from an Authorization Header in JavaScript (Angular 2/4)?

角交換acces令牌與承載者的令牌Oauth2

[英]Angular exchanging acces token for bearer's token Oauth2

如何通過令牌而不是 cookie 中的 jsession 訪問 spring oauth2 客戶端后端 api？

[英]How can i access spring oauth2 client backend api by token instead of jsession in cookie?

授權不記名令牌Angular 5

[英]Authorization bearer token Angular 5

為 oauth/token 請求剝離的基本授權標頭

[英]Basic Authorization header stripped for oauth/token request

Oauth2訪問令牌安全問題+角度2

[英]Oauth2 Access Token Security Issue + angular 2

無法通過使用HttpClient在ionic中設置Authorization Header來發送Bearer令牌

[英]Unable to send Bearer token by setting Authorization Header in ionic using HttpClient

請求的資源上不存在“Access-Control-Allow-Origin”標頭，並且 JWT 令牌不以 Bearer String 開頭

[英]No 'Access-Control-Allow-Origin' header is present on the requested resource and JWT Token does not begin with Bearer String

如何在 Angular Post 請求中正確發送帶有承載令牌的授權標頭？ - “403 Forbidden” - Strapi

[英]How can I properly send Authorization Header with Bearer token in Angular Post Request? - "403 Forbidden" - Strapi

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何使用 OAuth2 客戶端憑據流在 Angular 中獲取訪問令牌如何從 JavaScript (Angular 2/4) 中的授權標頭中檢索承載令牌？角交換acces令牌與承載者的令牌Oauth2 如何通過令牌而不是 cookie 中的 jsession 訪問 spring oauth2 客戶端后端 api？授權不記名令牌Angular 5 為 oauth/token 請求剝離的基本授權標頭 Oauth2訪問令牌安全問題+角度2 無法通過使用HttpClient在ionic中設置Authorization Header來發送Bearer令牌請求的資源上不存在“Access-Control-Allow-Origin”標頭，並且 JWT 令牌不以 Bearer String 開頭如何在 Angular Post 請求中正確發送帶有承載令牌的授權標頭？ - “403 Forbidden” - Strapi

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM