我们在Spring启动时使用Spring Security进行REST API的授权和身份验证。
我们正在运行一个REDIS服务器,它与Spring安全存储X-AUTH-TOKEN一起发送,并将其作为404 RESPONSE的HEADER参数发送给执行/登录尝试的用户。
然后可以将此X-AUTH-TOKEN用作头参数来验证其他REST API。
此处的问题是用户可以复制此X-AUTH-TOKEN并从另一台计算机上使用它并绕过生成X-AUTH-TOKEN的登录凭据。
如何在Spring Security令牌中禁用此安全漏洞?
请帮忙
答案 0 :(得分:0)
如果您使用的是JSON网络令牌,那么您可以在声明中添加一个自定义字段,该字段可以唯一标识该计算机并验证其是否相同。
如果您不介意使应用程序具有状态,那么帖子here也很有用。