我有一个与 keycloak 集成的角度应用程序,用于身份验证和授权。 一切都按预期工作,但是,当我从我的应用程序单击登录时,它通过 GET HTTP 调用重定向到 keycloak 服务器,并为登录页面生成了以下 URL。
public void jumpto3(View view) {
Intent i1 = new Intent(this,ThirdActivity.class);
i1.putExtra("user",e1.getText().toString());
startActivity(i1);
}我们的安全团队怀疑显示 redirect_uri、nonce 令牌等可能会导致安全问题。
我假设 URL 是由 angular 的 keycloak-service 生成的,下面是配置。
http://<HOST:PORT>/auth/realms/microsoft/protocol/openid-connect/auth?client_id=<client_id>&redirect_uri=<redirect_uri>&state=<state_token>&response_mode=fragment&response_type=id_token%20token&scope=openid&nonce=<nonce_token>
我想知道我是否可以在这里进行一些配置更改,以便这些参数将作为请求/响应标头的一部分注入。或者必须有一个 POST HTTP 调用。
[编辑 - 或者可以在 cookie 或任何隐藏字段中设置令牌值,或者在会话级别,我愿意寻求解决方案。]
如果不能保证安全,我该如何修改 URL 或任何博文?