保护Angular/Spring REST web服务免受未授权客户端的攻击
我们正在开发一个使用Angular和Spring的应用程序。我们从后端公开一些 REST Web 服务。
我知道强烈建议REST Web服务应该是无状态和无会话的,因此我们正在开发无状态和无会话的Web服务。
我们如何保护web服务不被未经授权的客户端调用。所以我想从Angular应用程序调用这些服务。
我知道几乎不可能阻止来自Selenium等某些工具的调用,但这没关系,因为该客户端也是Angular应用程序。
共有1个答案
>
从Angular到服务器的每一次调用都需要将上一步中的JWT令牌作为授权标头发送。在Angular中,您可以使用HttpInterceptor实现此共享逻辑,而不是将其放在Angular服务层中的所有位置。
后端必须检查每个请求(Spring Security过滤器)是否存在此JWT令牌,验证令牌标头
-
为了防止我们的网络在预连接攻击和获取访问部分中解释的先前攻击破解方法,我们需要访问路由器的设置页面。每个路由器都有一个web页面,我们可以在页面中修改路由器的设置,它通常位于路由器的IP上。首先,获得我们自己的计算机的IP,为此运行命令。如下面的屏幕截图所示,突出显示的部分是计算机的IP: 现在打开浏览器并访问:。对于此示例,计算机的IP为。通常,路由器的IP是子网的第一个IP。目前,它是,我们只
-
我正在使用一个WildFly应用服务器,它在我的本地机器上托管一个简单的前端-后端组合。前端通过Keycloak JS适配器保护,后端使用Keycloak WildFly适配器。 完整的服务器日志可以在这里获得。由于此问题仅限于本地REST服务的occrus(我可以从公司网络中其他受KeyCloak保护的服务连接和检索数据),我怀疑这是WildFly配置的问题。目前,它是一个干净的安装,只有Key
-
之后,我得到以下错误: 我们使用的是restapi.php (a)我们使用的是G套件“基本版”;那有什么限制吗?(b)我们从PHP(7.0)环境中调用G-Suite API;是否有任何已知的问题,因为环境仍然标记为'(Beta)'。(c)是否有任何样例/教程可以给出解决我们问题的指针。
-
问题内容: 我正在研究使用SQL LocalDB作为客户端数据库,它将替代.net 4中开发的内部应用程序中的当前SQL CE 3.5数据库。 我遇到了一个不确定的问题,那就是LocalDB实例的安全设置。 如果我在.net中设置了一个脚本来创建一个私有LocalDB实例,例如(localdb)\ T1,然后在该实例中创建了一个新数据库,并添加了一个SQL用户帐户+密码(非域帐户),如何停止本地使
-
最近,我一直在使用AWS API gateway,在那里我创建了一个API,并用API key和Cognito(OAuth)保护它。 有一天,我发现我的API被访问了10K次,但失败了,因为攻击者没有访问它的权限。 任何帮助都很感激...
-
在本节中,我们将了解客户端攻击。最好使用服务器端攻击来访问目标计算机,例如尝试在已安装的应用程序或操作系统中查找漏洞。如果我们无法找到漏洞,或者目标隐藏在IP后面或使用隐藏网络,在这种情况下,我们将使用客户端攻击。客户端攻击要求用户执行某些操作,例如下载映像,打开链接,安装更新,然后在其计算机中运行代码。客户端攻击需要用户交互,这就是信息收集非常重要的原因。它收集有关个人申请的信息以及他们作为一个