- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
对于如何为我的网络应用程序使用 OAuth 2.0 授权,我有点困惑。
我了解 SPA 的隐式赠款现已停用,我应该使用授权赠款。
然而,我阅读的文章和文档,以及我观看的视频仍然存在一些歧义。
如果我有一个 React JS 前端和一个 Spring Boot 后端,我会看到三种可以进行 token 交换的方法。因此,当用户点击登录时,我可以:
1) 让我的 React 前端在没有客户端密码的情况下执行授权授予,并按照 SPA 的 OAuth 2.0 文档的建议获取 token
2) 让我的 React 前端执行一半的授权授予,即获取授权代码。然后将其传递到我的后端以与客户端 key 交换授权码以取回 token ,然后将此 token 传递到我的前端。
(这是此处推荐的方法:what's the alternative to password grant now that it is deprecated? OAUTH 2.0)。
老实说,我不明白这是如何工作的,因为前端和后端的客户端 ID 肯定会不同吗?
3) 让我的 React 前端将授权流程委托(delegate)给我的后端服务器,后者可以使用客户端密码执行授权授予。
我是不是误解了什么,或者所有这些方法都可行吗?这里推荐的方法是什么?
最佳答案
这些都是可行的,只是风险不同。可能最重要的区别是在身份验证期间哪个组件可以访问什么。考虑到这些组件中的每一个都可能受到损害,攻击者会获得什么。
让我们从上面的#3 开始。作为此应用程序的用户,我必须在 SPA 中输入我的凭据,然后 SPA 会将其传递给您的后端。凭证会同时向 SPA 和后端显示,如果其中任何一个遭到破坏,攻击者将直接获得对用户名和密码对的访问权限。如果没有必要,您可能不想承担这种风险。此外,如果身份提供者是公共(public)身份提供者(不特定于您的应用程序),这将不起作用,即。我不想在您的应用中输入我的 Facebook 密码。
从这个角度来看上面的#1 更好,因为您的后端永远无法访问实际的用户凭据(他们的密码)。根据实现情况,如果您将用户重定向到身份提供者以输入他们的密码,SPA 也不需要访问权限,但这是一种 UX 权衡。在这种情况下,SPA 和您的后端都有访问 token ,这很容易受到潜在的 XSS 攻击。如果其中任何一个遭到破坏,攻击者可能会获得对访问 token 的访问权并在其有效时使用它。
#2 通过 SPA 永远无法访问访问 token ,只能访问授权代码进一步改进了这一点。在这种情况下,SPA 可能会与您的后端进行常规 session ( session token 可能在 httponly cookie 中),这对 XSS 是安全的,并且后端可以使用交换的访问 token 查询它可以访问的任何资源。你可能会争辩说 SPA 有授权码,攻击者也可以用它来交换访问 token ,但一方面,授权码应该是一次性 token ,而且 SPA 不需要存储授权码,它只需要将其传递给后端一次。
之所以所有这些都存在并且可行,是因为有时您出于安全之外的原因无法做到其中之一。选择一种在您的应用程序中向最少的组件公开最少内容的方法,同时仍能满足功能、用户体验和其他要求,并始终了解您隐含接受的风险。
关于reactjs - 我应该如何在我的案例中使用 OAuth 2.0 授权授权(React 前端,Spring Boot 后端),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66145696/
问题是,当用户回复彼此的帖子时,我必须这样做: margin-left:40px; 对于 1 级深度 react margin-left:80px; 对于 2 层深等 但是我想让 react div
我试图弄清楚如何将 React Router 与 React VR 连接起来。 首先,我应该使用 react-router dom/native ?目前尚不清楚,因为 React VR 构建在 Rea
我是 React 或一般编码背景的新手。我不确定这些陈述之间有什么区别 import * as react from 'react' 和 import react from 'react' 提前致谢!
我正在使用最新的稳定版本的 react、react-native、react-test-renderer、react-dom。 然而,react-native 依赖于 react@16.0.0-alp
是否 react 原生 应用程序开发可以通过软件架构实现,例如 MVC、MVP、MVVM ? 谢谢你。 最佳答案 是的。 React Native 只是你提到的那些软件设计模式中的“V”。如果你考虑其
您好我正在尝试在我的导航器右按钮中绑定(bind)一个功能, 但它给出了错误。 这是我的代码: import React, { Component } from 'react'; import Ico
我使用react native创建了一个应用程序,我正在尝试生成apk。在http://facebook.github.io/react-native/docs/signed-apk-android.
1 [我尝试将分页的 z-index 更改为 0,但没有成功] 这是我的codesandbox的链接:请检查最后一个选择下拉列表,它位于分页后面。 https://codesandbox.io/s/j
我注意到 React 可以这样导入: import * as React from 'react'; ...或者像这样: import React from 'react'; 第一个导入 react
我是 react-native 的新手。我正在使用 React Native Paper 为所有屏幕提供主题。我也在使用 react 导航堆栈导航器和抽屉导航器。首先,对于导航,论文主题在导航组件中不
我有一个使用 Ignite CLI 创建的 React Native 应用程序.我正在尝试将 TabNavigator 与 React Navigation 结合使用,但我似乎无法弄清楚如何将数据从一
我正在尝试在我的 React 应用程序中进行快照测试。我已经在使用 react-testing-library 进行一般的单元测试。然而,对于快照测试,我在网上看到了不同的方法,要么使用 react-
我正在使用 react-native 构建跨平台 native 应用程序,并使用 react-navigation 在屏幕之间导航和使用 redux 管理导航状态。当我嵌套导航器时会出现问题。 例如,
由于分页和 React Native Navigation,我面临着一种复杂的问题。 单击具有类别列表的抽屉,它们都将转到屏幕 问题陈述: 当我随机点击类别时,一切正常。但是,在分页过程中遇到问题。假
这是我的抽屉导航: const DashboardStack = StackNavigator({ Dashboard: { screen: Dashboard
尝试构建 react-native android 应用程序但出现以下错误 info Running jetifier to migrate libraries to AndroidX. You ca
我目前正在一个应用程序中实现 React Router v.4,我也在其中使用 Webpack 进行捆绑。在我的 webpack 配置中,我将 React、ReactDOM 和 React-route
我正在使用 React.children 渲染一些带有 react router 的子路由(对于某个主路由下的所有子路由。 这对我来说一直很好,但是我之前正在解构传递给 children 的 Prop
当我运行 React 应用程序时,它显示 export 'React'(导入为 'React')在 'react' 中找不到。所有页面错误 see image here . 最佳答案 根据图像中的错误
当我使用这个例子在我的应用程序上实现 Image-slider 时,我遇到了这个错误。 import React,{Component} from 'react' import {View,T
我是一名优秀的程序员,十分优秀!