那些遇到过的问题

为什么/ oauth/authorize应该得到保护?

Adr*_*ano 7 spring-security spring-boot spring-security-oauth2

根据http://projects.spring.io/spring-security-oauth/docs/oauth2.html:

注意,应使用Spring Security保护授权端点/ oauth/authorize(或其映射的替代方案),以便只有经过身份验证的用户才能访问它.

这是为什么?如果需要授权授权来交换授权代码的端点应该得到保护,这听起来是不对的.它就像登录页面的登录页面,特别是当授权授权将通过资源所有者密码凭据时.

Ran*_*niz 2

oAuth2 授权分两步进行:

  1. 用户使用其凭据进行身份验证
  2. 用户授予应用程序 X 使用其数据的权限

步骤 2 发生在/oauth/authorize上,步骤 1 发生在应用程序的其他地方(很可能通过 Spring Security 支持的表单登录)。

如果您不保护/oauth/authorize,您最终将在不验证用户身份的情况下授予授权(或者您不会这样做,因为如果没有经过身份验证的会话,您可能不知道用户是谁)。

归档时间:

查看次数:

451 次

最近记录:

10 年,5 月 前
相关归档
Spring Boot yaml配置字符串列表 122
无法在logback.xml中使用Spring Property Place 34
Spring Boot - repository字段需要一个名为'entityManagerFactory'的bean,找不到它 12
Yml使用Spring启动配置文件"继承" 10
Kotlin Spring启动@ConfigurationProperties列表 6
使用单个 Spring Boot 应用程序收听多个 IBM MQ 6
Spring Security在全新应用程序启动时重定向到invalid-session-url 5
如何在 Spring Boot 中实现每个文件都有额外字段的多个文件上传 5
maven-shade-plugin - 在类org.apache.maven.plugins.shade.resource.ManifestResourceTransformer中找不到'resource' 4
注入和使用Spring Security UserCache 3
难疑归档
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
在JavaScript中创建GUID/UUID? 3915
如何使用JavaScript复制到剪贴板? 3131
数据库索引如何工作? 2335
没有jQuery的$(document).ready等价 1925
PostgreSQL"DESCRIBE TABLE" 1790
varchar和nvarchar有什么区别? 1300
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
检查SQL Server中是否存在表 1068