当前位置: 首页 > 知识库问答 >
问题:

用spring框架解决OpenID Connect认证的会话固定

璩涛
2023-03-14

我有一个spring应用程序,在其中进行OpenId Connect(OIDC)身份验证。默认情况下不会处理会话固定。最好的处理方法是什么?我的OIDC请求不使用任何Spring Security性。我想知道是否有可能以某种方式将Spring Security性与OIDC集成来解决会话固定问题?如果没有,有什么干净的解决办法吗?我做了一些搜索,但没有找到任何相关的东西。有什么想法吗?

共有1个答案

潘翰藻
2023-03-14

您可以从以下内容开始:https://github.com/mitreid-connect/openid-connect-java-spring-server/tree/master/openid-connect-client

如果不是您所需要的,您可以直接从oauth机制开始,如本文所述:如何实现Openid connect和Spring Security->https://github.com/spring-projects/spring-security-oauth

 类似资料:
  • 我试图使用Spring Integration创建一个iso8385 TCP服务器。典型的情况如下: 客户端连接到服务器并保存ISO8385消息 服务器处理消息 服务器制定响应并关闭连接 我希望跟踪每个新的TCP连接,并为其创建一个标识符,以便将每个处理与连接的客户端相关联。但我不知道怎么做。这个想法是: 将ISO8385转换为java类的tcp入站适配器 将处理消息的服务激活器 将java类转换

  • 我正在尝试使用Spring Social通过Twitter在AppEngine上使用Spring Security登录,并获得以下异常。 此错误在使用URL从twitter重定向回后出现http://localhost:8888/auth/twitter?oauth_token=token_value 任何帮助都很感激 错误堆栈跟踪:

  • 另一方面,还有另一种纯粹的Vaadin机制: 我有一个问题,我是否需要以某种方式将Spring对象放置到,或者是否可以分别使用这两种方法,并在需要的地方调用Vaadin应用程序内部的?

  • 4.3. 会话固定 关于会话,需要关注的主要问题是会话标识的保密性问题。如果它是保密的,就不会存在会话劫持的风险了。通过一个合法的会话标识,一个攻击者可以非常成功地冒充成为你的某一个用户。 一个攻击者可以通过三种方法来取得合法的会话标识: l猜测 l捕获 l固定 PHP生成的是随机性很强的会话标识,所以被猜测的风险是不存在的。常见的是通过捕获网络通信数据以得到会话标识。为了避免会话标识被捕获的风险

  • 问题内容: 我需要知道执行某些DDL的SQL脚本中当前的默认架构是什么。我不需要设置架构,但是我确实需要在变量中获取对它的引用(名称或ID)。该脚本可能会以Windows登录名的身份运行,因此以下操作还不够: 我曾想过要通过在当前模式中创建一个随机命名的对象,然后在information_schema中查看其详细信息来做到这一点,但是有人能用一种更整洁的方式吗? 我正在使用SQL Server 2

  • 在用户登录时续订HTTP会话是常见的最佳做法。这将强制使用新的会话ID,从而避免会话固定漏洞。 当涉及@SessionScoped bean时,是否有使用CDI实现此功能的首选模式?困难在于,通过使当前HTTP会话无效,您将在下一个请求中获得不同的会话范围bean,但直到下一个请求。 例如,假设一个用于存储用户登录信息的会话bean: 和另一个用于管理登录的bean: 对于托管Bean,这将检索一