如何限制来自未知来源的openid-connect请求。
如果我们的访问令牌可用,任何人都可以请求我们想要限制的userinfo(我们将用户信息和声明保存到userinfo)。
表示我们应该仅允许来自已知客户的请求。
注意:我们使用Keycloak作为身份服务器
请帮助!!
答案 0 :(得分:0)
首先,访问令牌必须与用户凭据一样受到保护。 OAuth2.0框架为我们提供的是能够使用动态生成的令牌替换基于用户名/密码的身份验证/授权。因此,必须保护这些令牌。这就是为什么TLS是令牌传输的必要条件。
RFC6749 section 10.3 - 访问令牌凭据(以及任何凭据) 保密访问令牌属性)必须保密 运输和存储,只在授权之间共享 服务器,访问令牌有效的资源服务器,以及 发出访问令牌的客户端。访问令牌 凭证必须只能使用TLS传输,如中所述 第1.6节,带有[RFC2818]定义的服务器认证。
因此,如果您担心访问令牌滥用,您必须首先担心采用基于令牌的通信。您的客户必须足够安全,不要滥用令牌。
您还可以做的另一件事是启用 CORS 标头来限制对端点的访问。但是,这只是在保护令牌之后。!
p.s 或者,可以将网络配置设置为仅允许已知/有效的IP地址与后端通信。但这不属于OIDC协议。