1
如何限制來自未知源的openid連接請求。限制來自未知源的openid-connect userinfo請求
如果我們有訪問令牌,任何人都可以請求我們想要限制的用戶信息(我們正在保存用戶信息和聲明到用戶信息中)。
表示,我們應該允許來自已知客戶端的請求。
注意:我們使用Keycloak作爲身份服務器
請幫忙!!
A
回答
0
首先,訪問令牌必須與用戶憑證一樣受到保護。 OAuth2.0框架給我們的是能夠用動態生成的令牌替換基於用戶名/密碼的認證/授權。因此這些令牌必須受到保護。這就是爲什麼TLS是令牌傳輸的必要條件。
RFC6749 section 10.3 - 訪問令牌憑據(以及任何 機密的訪問令牌屬性)必須在 運輸和儲存保密,只有授權 服務器之間共享,資源服務器的訪問令牌是有效的,以及發放訪問令牌的客戶端 。訪問令牌 只能使用TLS進行傳輸,如 第1.6節所述,服務器認證由[RFC2818]定義。
因此,如果您擔心訪問令牌被濫用,您必須首先擔心採用基於令牌的通信。您的客戶必須足夠安全,不要誤用令牌。
您還可以做的另一件事是啓用CORS頭來限制對端點的訪問。但是,這只是在保護令牌之後。
p.s或者,網絡配置可以設置爲只允許已知/有效的IP地址與您的後端進行通信。但是這不在OIDC協議中。
相關問題
- 1. Datatable請求來自數據源行0的未知參數'2'
- 2. 限制來自IP的請求數
- 3. 通過限制請求源
- 4. ODE求解未知限制
- 5. 來自未知源的MPI recv
- 6. 未請求推送通知權限
- 7. 請求來自數據源的行0的未知參數'1'(JTable Issue)
- 8. ConfigurationManager.Read閱讀來自未知來源
- 9. POST請求後的未知GET請求
- 10. 來自應用程序請求的通知未收到Facebook
- 11. 日誌顯示來自未知IP的持續GET請求
- 12. Microsoft認知服務JavaScript請求「訪問控制允許來源」
- 13. 來自一個IP的請求的確切限制
- 14. 來自Android的JSON請求未執行
- 15. GET請求來源
- 16. Spring Security - OAuth2 - OpenIDConnect和JWT請求參數
- 17. node.js限制來自用戶的請求數
- 18. 限制來自php/apache或.htaccess的http請求?
- 19. PHP - 如何限制僅來自Chrome擴展的請求?
- 20. 限制來自某些推薦的某些頁面請求(nginx)
- 21. 如何限制來自OData請求的數據量?
- 22. 未知請求/ cgi-bin/chs/numreg/init來自61.160.213.108
- 23. com.google.android.gms.measurement.AppMeasurementContentProvider.onCreate(未知來源)
- 24. Servlet:未知來源
- 25. FirebaseStorage.getReferenceFromUrl(未知來源)
- 26. ClassNotFoundException(未知來源)
- 27. 使用Rxjs5(Beta)來限制http請求
- 28. MojangAPI限制請求
- 29. API請求限制
- 30. WCAT請求限制
謝謝!但是,我沒有得到實際答案,是的,我們正在保護訪問令牌。實際上,如果用戶通過未知來源或郵遞員訪問令牌,任何用戶都可以請求用戶信息。我想限制這一點。並分享細節,如果請求來自我們的客戶(微服務)只。 – Nick
@Nick正如您在示例中給出的那樣,您是不是使用有效訪問令牌發送郵遞員請求?這意味着如果您的訪問令牌受到保護並且沒有其他方可以獲取它們,則它們將無法從userinfo端點獲取信息。該協議的保護僅限於訪問令牌(我的答案解釋了原因)。或者,可以調整網絡以將目標受衆以外的IP地址列入黑名單。但是從網絡角度來看。 –