我们开发了SPA(Bootstrap / Angular)和单独的服务层(.Net) 我们的用户很少能够访问我们网站上的任何内容,而无需先将其重定向到单独的IdP。登录后,他们会在SPA中使用他们的ID令牌重定向回来。
一旦用户首次注册,我们将整理信息并将其与新帐户相关联,以便每次返回时进行检索。
我们的目的是管理前端的任何状态(非常少)并保持我们的后端完全无状态,因此所有对API的请求都将由我们的后端验证(JWT令牌签名和声明验证),我们&# 39;获取用户身份(ID令牌)并在授权后提供响应(基于'安全级别'声明)。
我们在API上的CORS设置只接受来自SPA的请求,所以这应该有所帮助,但我担心有人可能会以某种方式窃取令牌并使用它来查找有关用户的信息。
这真的有可能吗,我是否遗漏了一些较大的安全漏洞?
由于
答案 0 :(得分:0)
我只认为如果有人在SPA客户端和API /资源服务之间执行了中间人攻击,就会发生这种情况。您的SPA在某些时候会获得一个Auth持有者令牌,可以传递给API /资源服务。
我在规划自己的OpenID Connect / OAuth2实施时发现此视频很有用。