我们的 OAuth2 实施存在安全漏洞
Our OAuth2 implemention has security flaws
我以只有读取权限的 Scott 身份登录。 oauth2 服务器(基于JAVA)给了我一个令牌。然后我让我的队友将他未过期的令牌发给我。我更新了我的 Angular 应用程序并对给我的令牌进行了硬编码。我尝试对 api 进行更改,并且能够进行一些更改。
后端 api 如何防止这种情况?
您已成功实施 session hijack。发生这种情况是因为会话基于存储在网页或 cookie 中的令牌,而不是 IP 地址或其他东西。这是有道理的,因为 IP 地址可以被欺骗,而加密安全会话令牌几乎不可能被欺骗。
虽然您可以添加策略来使这变得更加困难(例如:某种硬件令牌涉及对每条消息进行加密签名),但您觉得为什么需要这样做?除了最安全的站点外,所有站点都依赖于此机制。
我以只有读取权限的 Scott 身份登录。 oauth2 服务器(基于JAVA)给了我一个令牌。然后我让我的队友将他未过期的令牌发给我。我更新了我的 Angular 应用程序并对给我的令牌进行了硬编码。我尝试对 api 进行更改,并且能够进行一些更改。
后端 api 如何防止这种情况?
您已成功实施 session hijack。发生这种情况是因为会话基于存储在网页或 cookie 中的令牌,而不是 IP 地址或其他东西。这是有道理的,因为 IP 地址可以被欺骗,而加密安全会话令牌几乎不可能被欺骗。
虽然您可以添加策略来使这变得更加困难(例如:某种硬件令牌涉及对每条消息进行加密签名),但您觉得为什么需要这样做?除了最安全的站点外,所有站点都依赖于此机制。