oauth-2.0 - jhipster oauth2 客户端密码-6ren

oauth-2.0 - jhipster oauth2 客户端密码

转载作者：行者123 更新时间：2023-12-04 22:59:03

25

4

我一直在试验 jhipster。
我已将我的应用程序配置为使用 oauth2。
为此，我的 application.yml 中有一个客户端 secret

根据我在此主题上找到的几篇文章，客户端 secret 应始终保密。例如，检查 https://aaronparecki.com/articles/2012/07/29/1/oauth2-simplified

The client secret must be kept confidential. If a deployed app cannot keep the secret confidential, such as Javascript or native apps, then the secret is not used.

我注意到虽然生成的 auth.oauth2.service.js 包含纯文本的 secret :

        return {
            login: function(credentials) {
                var data = "username=" + credentials.username + "&password="
                    + credentials.password + "&grant_type=password&scope=read%20write&" +
                    "client_secret=mySecretOAuthSecret&client_id=myapp";
                return $http.post('oauth/token', data, {
                    headers: {
                        "Content-Type": "application/x-www-form-urlencoded",
                        "Accept": "application/json",
                        "Authorization": "Basic " + Base64.encode("myapp" + ':' + "mySecretOAuthSecret")
                    }
                }).success(function (response) {
                    var expiredAt = new Date();
                    expiredAt.setSeconds(expiredAt.getSeconds() + response.expires_in);
                    response.expires_at = expiredAt.getTime();
                    localStorageService.set('token', response);
                    return response;
                });
            },

我知道在缩小的 javascript 中找到它会有点困难，但是任何寻找“client_secret”的人都会很快得到返回。

我错过了什么吗？还是 jHipster oauth 实现不安全？

谢谢，
安迪

最佳答案

由于像 jhipster 这样的 JS 客户端无法保留客户端 secret “ secret ”，因此使用客户端 secret 完全没有意义。 jhipster 使用的 OAuth2 资源所有者密码凭据授予流程适用于非常受信任的客户端——jhipster 的客户端就是这样。它允许您跳过正常的“授权”端点并直接转到“ token ”端点以使用您的用户凭据获取您的 token 。如果您的 Spring 授权服务器 (AS) 定义了客户端 secret ，则您需要从客户端 JS 传递该 secret 。但是，如果您从 AS 中的内存中客户端设置中删除 secret 定义(例如，在 OAuth2ServerConfiguration.java 中注释掉该行)，您可以在 JS 中完全忽略它(见下文)

return {
   login: function(credentials) {
      var data = "username=" + credentials.username + "&password=" + credentials.password + "&grant_type=password&scope=read%20write&";
      return $http.post('oauth/token', data, {
         headers: {
            "Content-Type": "application/x-www-form-urlencoded",
            "Accept": "application/json",
            "Authorization": "Basic " + Base64.encode("myapp" + ':' + "")
         }
      }).success(function (response) {
         var expiredAt = new Date();
         expiredAt.setSeconds(expiredAt.getSeconds() + response.expires_in);
         response.expires_at = expiredAt.getTime();
         localStorageService.set('token', response);
         return response;
      });
   },

删除您的客户端 secret 后，我认为您的应用程序并没有真正更安全，但感觉更干净和诚实——因为您承认使用仅使用 JS 的客户端，您只能如此安全。对于 JS 和 native 客户端，通常使用隐式流，它不会打扰客户端 secret 。它是从更强大的授权代码授予流程简化而来的，因为使用 JS 或 native 客户端无法保密。

无论如何，jhipster 可能不应该在 JS 源代码中包含客户端 secret ，但我认为它不会造成任何伤害(因为唯一的选择是拥有一个不再安全的空白客户端 secret )。你不是不安全的(因为规范允许这种事情)但是你会更安全地使用授权代码流(这需要在 jhipster 实现中做一些工作)或者让轻服务器代理添加客户端 -对“ token ”端点的请求的 secret ，而不是直接来自 JS。服务器到服务器的通信(例如通过代理)使浏览器无法看到 secret 。

看到这篇文章很好地讨论了带有 oauth2 的纯 JS 客户端的陷阱: http://alexbilbie.com/2014/11/oauth-and-javascript/

这是将 oauth2 与 angularjs 和 spring 通过代理一起使用的示例: https://spring.io/blog/2015/02/03/sso-with-oauth2-angular-js-and-spring-security-part-v

关于oauth-2.0 - jhipster oauth2 客户端密码，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/32038904/

25

4

0

文章推荐： json - JSON Jackson 库是否具有 JSON 清理功能？

文章推荐： angularjs - 如何在 Angularjs Controller 中使用初始谷歌地图

文章推荐： kdb - 调用 string() 时的输出差异

python - 为 CustomUser 指定的未知字段(密码 1、密码 2)
Internal Server Error: /admin/account/customuser/add/ Traceback (most recent call last): File "C:\
php - 我的 php 脚本没有使用给定的用户名/密码/主机，而是使用 root@localhost(密码 : NO)
有问题!虽然我发现几乎相似的线程但没有帮助:( 我编写了一个 php 脚本来从我的 MySQL 数据库中获取注册用户的数量。该脚本在我的本地主机上运行良好；它使用给定的用户名、密码和主机名，分别是“r
密码、文本换行
我正在做一项基于密码的作业，我将 key 和消息放在单独的数组中。我想创建第三个数组，其中包含围绕消息大小的 key ，如下所示: message keykeyk 我已经在这个问题上苦苦挣扎了一段时间
安卓图形登录/密码
我的几个客户要求我实现图形密码检查器，例如关于如何实现这种 UI 有什么想法吗？最佳答案试着看看这个:https://code.google.com/p/android-lockpattern/
phpMyAdmin:密码？
我正在使用 MAMP，每次登录 phpMyAdmin 时，都会收到以下错误/警告消息: the configuration file now needs a secret passphrase (bl
windbg - WDKRemoteUser 密码 ?
我正在尝试通过将 Visual Studio 2013 连接到我的测试机来调试 WDF 驱动程序。它创建一个名为 WDKRemoteUser 的用户，并在进行测试时尝试自动登录。有人知道这个用户的密码
ubuntu - SVN停止询问用户名+密码
使用具有指定用户名和密码的 SVN 提交。我希望服务器抛出错误；所以我可以告诉我的用户他/她的密码错误。相反，在使用错误密码提交后: svn commit "test_file.txt" --use
neo4j - 我如何找到neo4j 密码？
我正在尝试实现 friend 推荐。它从节点“你”开始。而且，我想找到节点“安娜”。换句话说，这是我的两个或更多 friend 共同认识的人。上面的示例节点是 Anna。如果您的帮助，我将不胜感
passwords - wget为什么不接受我的用户名/密码？
我都尝试过 wget --user=myuser --password=mypassword myfile 和 wget --ftp-user=myuser --ftp-password=mypass
Firefox 自动填充用户名/密码
我的一位用户提示说，每当他尝试使用默认管理界面(Django 的管理员)添加新用户(auth.User)时，新用户名和密码都会自动填充他自己的。问题是他在登录时要求 Firefox 记住他的用户名/
iphone - 在应用程序购买沙箱中不提示我输入登录/密码
我们正在开发一款应用(当然)用于应用购买 (IAP)。我已完成指南中的所有操作以启用 iap，并且一切正常，直到我想要购买为止。部分代码: MainViewController.m -(vo
neo4j - neo4j 密码
我试图创建两个可选匹配项的并集(如下所示)，但我得到的不是并集，而是两者的交集。我应该如何更改此查询以获得所需的联合？ optional match (a:PA)-[r2:network*2]-(b:
ssh - 如何在Ansible命令中传递用户名/密码
我想将Ansible用作另一个Python软件的一部分。在该软件中，我有一个包含其用户名/密码的主机列表。有没有一种方法可以将SSH连接的用户/密码传递给Ansible ad-hoc命令或以加密方式
apache - 使用htaccess在Xampp上出现错误500(密码)
嗨，我在使用xampp的Apache Web服务器上收到错误500。直到我使用.htaccess，.htpasswd文件，错误才出现。我搜索了，但找不到语法错误。我只有1张图片和要保护的索引文件。以下
Laravel 密码 & 密码_确认验证
我一直使用它来编辑用户帐户信息: $this->validate($request, [ 'password' => 'min:6', 'password_confirmation'
.net - 使用InstallUtil并静默设置Windows服务登录用户名/密码
我需要使用InstallUtil来安装C# Windows服务。我需要设置服务登录凭据(用户名和密码)。这一切都需要默默地完成。有没有办法做这样的事情: installutil.exe myserv
forms - 浏览器如何决定哪些表单字段是用户名/密码？
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。这个问题似乎不是关于 a specific programming problem, a software
php - 密码、盐和授权
如果我有一个随机的、16 个字符长的字母数字盐(不同大小写)，它是为每个用户生成和存储的，我是否还需要一个站点范围的盐？换句话说，这样好吗？ sha1($user_salt . $password)
java - 存储用户创建的帐户的用户/密码？
我正在开发一个空白程序，该程序将允许用户创建一个帐户，以便他们可以存储其余额和提款/存款。用户输入用户名和密码后，如何存储这些信息以便用户可以登录并查看其余额？我不一定要尝试使其非常安全，我只是希望能
Neo4j 密码 - 搜索节点之间没有路径
我正在尝试寻找一种通用方法来搜索没有链接到另一个节点或节点集的节点或节点集。例如，我能够找到特定类型(例如 :Style)的所有节点，这些节点以某种方式连接到一组特定的节点(例如 :MetadataR

首页

博学

6Ren·AI

商城

oauth-2.0 - jhipster oauth2 客户端密码