1
如何限制来自未知源的openid连接请求。限制来自未知源的openid-connect userinfo请求
如果我们有访问令牌,任何人都可以请求我们想要限制的用户信息(我们正在保存用户信息和声明到用户信息中)。
表示,我们应该允许来自已知客户端的请求。
注意:我们使用Keycloak作为身份服务器
请帮忙!!
A
回答
0
首先,访问令牌必须与用户凭证一样受到保护。 OAuth2.0框架给我们的是能够用动态生成的令牌替换基于用户名/密码的认证/授权。因此这些令牌必须受到保护。这就是为什么TLS是令牌传输的必要条件。
RFC6749 section 10.3 - 访问令牌凭据(以及任何 机密的访问令牌属性)必须在 运输和储存保密,只有授权 服务器之间共享,资源服务器的访问令牌是有效的,以及发放访问令牌的客户端 。访问令牌 只能使用TLS进行传输,如 第1.6节所述,服务器认证由[RFC2818]定义。
因此,如果您担心访问令牌被滥用,您必须首先担心采用基于令牌的通信。您的客户必须足够安全,不要误用令牌。
您还可以做的另一件事是启用CORS头来限制对端点的访问。但是,这只是在保护令牌之后。
p.s或者,网络配置可以设置为只允许已知/有效的IP地址与您的后端进行通信。但是这不在OIDC协议中。
相关问题
- 1. Datatable请求来自数据源行0的未知参数'2'
- 2. 限制来自IP的请求数
- 3. 通过限制请求源
- 4. ODE求解未知限制
- 5. 来自未知源的MPI recv
- 6. 未请求推送通知权限
- 7. 请求来自数据源的行0的未知参数'1'(JTable Issue)
- 8. ConfigurationManager.Read阅读来自未知来源
- 9. POST请求后的未知GET请求
- 10. 来自应用程序请求的通知未收到Facebook
- 11. 日志显示来自未知IP的持续GET请求
- 12. Microsoft认知服务JavaScript请求“访问控制允许来源”
- 13. 来自一个IP的请求的确切限制
- 14. 来自Android的JSON请求未执行
- 15. GET请求来源
- 16. Spring Security - OAuth2 - OpenIDConnect和JWT请求参数
- 17. node.js限制来自用户的请求数
- 18. 限制来自php/apache或.htaccess的http请求?
- 19. PHP - 如何限制仅来自Chrome扩展的请求?
- 20. 限制来自某些推荐的某些页面请求(nginx)
- 21. 如何限制来自OData请求的数据量?
- 22. 未知请求/ cgi-bin/chs/numreg/init来自61.160.213.108
- 23. com.google.android.gms.measurement.AppMeasurementContentProvider.onCreate(未知来源)
- 24. Servlet:未知来源
- 25. FirebaseStorage.getReferenceFromUrl(未知来源)
- 26. ClassNotFoundException(未知来源)
- 27. 使用Rxjs5(Beta)来限制http请求
- 28. MojangAPI限制请求
- 29. API请求限制
- 30. WCAT请求限制
谢谢!但是,我没有得到实际答案,是的,我们正在保护访问令牌。实际上,如果用户通过未知来源或邮递员访问令牌,任何用户都可以请求用户信息。我想限制这一点。并分享细节,如果请求来自我们的客户(微服务)只。 – Nick
@Nick正如您在示例中给出的那样,您是不是使用有效访问令牌发送邮递员请求?这意味着如果您的访问令牌受到保护并且没有其他方可以获取它们,则它们将无法从userinfo端点获取信息。该协议的保护仅限于访问令牌(我的答案解释了原因)。或者,可以调整网络以将目标受众以外的IP地址列入黑名单。但是从网络角度来看。 –