我目前正在使用spring开发一个oauth2授权服务器。我想实现管理用户的管理 Jmeter 板。当然,用户管理的端点在auth服务器上。要授权用户使用管理 Jmeter 板,他们当然需要登录,所以我在尝试访问管理 Jmeter 板时将他们重定向到/authorize端点。但是,在登录后,spring auth服务器模块会在最终用户浏览器中放置一个会话cookie,并将安全上下文保存到会话中。这不会破坏oauth2流吗?
现在不需要请求承载令牌,因为最终用户只需要会话ID就可以访问授权服务器上的管理端点。这对我来说是一个安全风险。
我应该禁用保存安全上下文吗?
1条答案
按热度按时间68bkxrlz1#
访问令牌仅用于从OAuth2客户端发送到OAuth2资源服务器的请求。
登录是一个客户端问题,具有
oauth2Login的应用程序是OAuth2客户端。从浏览器发送到(而不是从)带有oauth2Login**的OAuth2客户端的请求始终使用会话进行保护。对 Jmeter 板应用程序的请求(如果是MVC应用程序,则为 Jmeter 板应用程序本身;如果是SPA或移动的应用程序,则为BFF)将使用会话(和CSRF保护)进行保护。只有从 Jmeter 板应用程序到用户管理REST API的请求才可以使用承载访问令牌进行保护。