个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我需要了解如何避免或如何管理 OAuth2 - 授权代码流授予期间的粘性 session ,特别是在以下期间:GET/uaa/oauth/authorize,POST/uaa/login 并再次 GET/uaa/oauth/authorize
我们的身份验证服务将只为我们拥有的两个网络应用程序提供服务,每个应用程序都是一个资源服务器,用于检查 token 和有效性。如果没有 token 或 token 无效,它们将直接重定向到 Auth 服务器登录页面(真正告诉第一次调用,GET/oauth/authorize)。
授权码流授权需要以下步骤:
-第一次调用注册客户端请求 GET/uaa/oauth/authorize,在 session 中存储一些信息(在我的例子中是 Spring Redis),例如客户端的回调url
-通过用户凭据 POST/login 第二次调用登录
-第三次调用获取 ACCESS_CODE GET/uaa/oauth/authorize,从 session 中检索回调 URL。
但是,如果我伪造来自两个不同客户端的两个请求,在同一浏览器上打开两个不同的选项卡怎么办?
例如:
http://localhost:9191/uaa/oauth/authorize?response_type=code&client_id=client-one&scope=auth&redirect_uri=http://localhost:8080/client-one
另一个是:
localhost:9191/uaa/oauth/authorize?response_type=code&client_id=client-two&scope=auth&redirect_uri=http://localhost:8080/client-two
Spring session 变得困惑。例如:
我尝试自定义 SessionRepository 但没有成功,但是使用 Oauth2 的其他服务我开始相信每个 web 应用程序中至少需要一个页面,在第一次调用 GET/oauth/authorize 之前进行代理.
是否有任何最佳实践建议可以避免此流程的粘性 session ?
或者有什么方法可以在没有 html 页面的情况下管理多个选项卡? Spring-Security 默认使用粘性 session ..
感谢您的宝贵时间。
最佳答案
我最终实现了类似随机数的东西,默认情况下 Spring Security 不支持(据我所知 Github Spring Security )。
如果用户尝试使用与最新随机数不同的随机数进行身份验证,我会将他踢到错误页面,并显示一条类似“登录 session 已过期”的消息,并带有指向 Web 应用程序的链接。
关于java - 授权码流程和多个选项卡,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56153363/
24
4
0
给定一个 Option[Future[Option[Int]]] : scala> val x: Option[Future[Option[Int]]] = Some ( Future ( Some
如果我理解正确,EitherT[Option,A,B] 应该与 Option[Either[A,B]] 相同,但编译器不同意.以下代码编译失败: def f[A,B] = implicitly[Eit
我刚开始在使用 parcel.js 构建静态 Assets 时遇到此错误。它在本地工作,但我在 Heroku 上的构建出错,我不确定它是否相关。 最佳答案 得到同样的问题。通过将 core-js 安装
当我生成 Telerik Report 时,只有 Export PDF 可用。即使我将 docx 和 xlsx 的配置设置为 true。这是我在网络配置中的配置。
我的 iTunesConnect 应用程序显示 Apple Pay 选项。我正在使用布伦特里。 即使我们没有在应用程序中使用 Apple Pay 功能。 有人可以帮我解决如何在我的 itunesCon
我正在 Raspbian 中从命令行运行以下查询: mysql -u $NAME -p $PASS Tweets -e "SELECT count(*) FROM raw_tweets;" 它输出以下
我正在尝试使用 ffmpeg(在 linux 下)为视频添加一个小标题。所以,我使用: ffmpeg -i hk.avi -r 30000/1001 -metadata title="SOF" hk_
我正在尝试使用 ffmpeg 使用 ffserver 流式传输视频。您将在 ffserver1.conf 文件下方找到 ffmpeg 命令的日志输出。 其中一个错误引用了预设,每次我尝试使用预设时,我
我正在尝试对 Option 使用 fold 或 map 操作而不是 match。 我有一个选项 val ao: Option[String] = xxxx 和一个函数 f: (String => Fu
Dockerfile documentation表示有可能通过 --platform FROM 中的选项像这样的指令: FROM [--platform=] [AS ] 在我的 dockerfile
我不确定“属性(property)”或“选项”是否是正确的术语,但这是我需要弄清楚的。 鉴于以下情况: ' $.fileup({ url: '/file/upload',
我正在尝试使用 jQuery 检查是否选择了值 = 1 的选择选项,然后将类添加到某些元素。但有些东西不起作用。可以请人看一下代码吗? 我的代码: Reservation
我对 VIM 中的这些感到困惑。有些事情需要设置,而另一些则让。 而且,我如何检查某个选项。我知道这是一个选项,因为我使用 set 来更改它。 例如,如何检查当前文件类型选项是否为 java? 最佳答
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
我在看《Professional F# 2.0》一书作者展示如下代码 let a string : option = None if a.IsNone then System.Console.
我习惯使用方法顶部的 java 样板检查输入参数: public static Boolean filesExist(String file1, String file2, String file3
假设我有一串 "Insert Post -title Some PostTitle -category 2 -date-posted 2013-02:02 10:10:10" 我一直在尝试做的是将这个
从 1.3.70 EAP 开始,在 org.jetbrains.kotlin.gradle.dsl.KotlinJvmOptions 这是 var useIR: kotlin.Boolean 哪个激活
我无法获取订购捆绑商品的所有子产品及其选项。这可能吗? 最佳答案 以下是您如何找出哪些产品应与所有其他项目一起附加到列表中的捆绑产品中的方法: foreach ($order->getAllItems
这个问题不太可能对任何 future 的访客有帮助;它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用,visit the
我是一名优秀的程序员,十分优秀!