针对REST API的带有X-Auth-Token的Spring Security性
我们在Spring Boot中有一个应用程序,使用Spring Security对REST API进行授权和身份验证。
我们有一个正在运行的REDIS服务器,它与spring security一起存储X-AUTH-TOKEN,并将其作为404响应的头参数发送给执行/登录尝试的用户。
然后,这个X-AUTH-TOKEN可以用作头参数来验证其他REST API。
这里的问题是,用户可以复制这个X-AUTH-TOKEN并从另一台机器上使用它,并绕过生成X-AUTH-TOKEN的登录凭据。
如何禁用此安全漏洞基于Spring Security令牌?
请帮忙
共有1个答案
如果您使用的是JSON web令牌,那么您可以在声明中添加一个自定义字段,该字段可以唯一标识机器,并验证其是否相同。
如果你不介意让你的应用程序有状态,这里的帖子也很有用。
-
我正在使用Alvaro的greach2014 repo来实验Spring Security Rest插件的行为。我可以登录到应用程序并生成身份验证令牌。然而,当我试图发送get请求时,我被重定向到登录页面。这是我的卷曲反应 我也用不记名旗试过,但结果是一样的 类似地,我也尝试过授权承载头,但它导致超时异常: Apache Tomcat/7.0.52-错误报告 键入异常报告 消息等待值的超时 注意根
-
Ember Simple Auth Token This is Ember addon is an extension to the Ember Simple Auth library that provides a basic token authenticator, a JSON Web Tokens token authenticator with automatic refresh cap
-
我有点困了,还没有找到解决办法。我有一个rails站点,它的前端使用designe,api使用designe\u token\u auth。前端使用服务器端呈现页面和api调用的组合向用户显示数据。如果我使用纯角度登录,登录表单最终会起作用(ushally 2-3提交): 如果我使用标准的post方法,服务器会呈现正确的信息,但没有为ng token auth设置令牌。我可以使用以下方法在会话#创
-
Spring 4.3.x与JDK 11不兼容。确切地说,在Tomcat上运行的web应用程序中,Spring代码的哪一部分不能与JDK 11兼容?我没有使用Spring AOP、JMS、消息传递、ORM、OXM、测试、Portlet和WebSocket。
-
Auth/app-not-authorizederror只有在手机验证中使用设备,我可以存储电子邮件/密码验证的数据,在firebase react-native中测试手机验证,但不使用设备,我添加了SHA 1,我检查了包名,项目名,添加了google-services.json,我添加了react-native-app,react-native-auth。我不会把otp从Firebase带到我的
-
} 自定义apiAuthenticationProvider将尝试基于标头中提供的令牌对所有请求进行身份验证,如果身份验证不成功,则抛出AccessException,客户端将收到HTTP 401响应: 这对于需要身份验证的请求非常有效。对于没有身份验证标头的/v2/session请求,这很好。但是,对于/v2/session请求,如果在头部(或在cookie中--代码示例中没有显示;如果客户机没