如果以查询参数形式发送,Spring Boot Actuator httptrace会以纯文本形式显示用户凭证

时间:2019-06-25 17:51:08

标签: spring spring-boot spring-boot-actuator

我有一台启用了Actuator的Spring Boot 2 OAuth2授权服务器。

当用户使用表单数据中的用户名和密码登录时,无需担心,由于httptrace端点中不包含有效负载,因此不会显示凭据。

但是,Spring Security OAuth2还允许在查询参数中传递用户名和密码。完成此操作后,凭据将以这种纯文本格式显示

{
    "timestamp": "2019-06-25T17:43:25.458807600Z",
    "principal": null,
    "session": null,
    "request": {
        "method": "POST",
        "uri": "http://localhost:8080/oauth/token?grant_type=password&username=joecool&password=s3cret!",
        "headers": {},
        "remoteAddress": null
    },
    "response": {
        "status": 400,
        "headers": {}
    },
    "timeTaken": null
}

是否可以从httptrace端点隐藏查询参数?

看着org.springframework.boot.actuate.trace.http.Include,我没有看到相应的条目。

0 个答案:

没有答案
相关问题
最新问题