使用 Spring Security 的 Oauth2 请求令牌

【问题标题】：Oauth2 Request Token using Spring Security使用 Spring Security 的 Oauth2 请求令牌
【发布时间】：2014-11-05 16:23:48
【问题描述】：

我对 spring-security oauth 非常陌生，因此是这个问题。

如果我使用 Spring Security 的默认 oauth 实现，我会使用以下内容：

http://localhost:8080/test-api/oauth/token?grant_type=implicit&client_id=test-app&client_secret=mysec1&username=user&password=password

我理解正确，在这种情况下，所有用户名、密码、凭据都将在 URL 中可见。这不是安全风险吗。如果所有这些都作为 post 参数传递不是更好吗。

任何帮助将不胜感激

【问题讨论】：

标签： java spring spring-mvc oauth spring-security

【解决方案1】：

OAuth2 仅在使用 https (s!) 时以安全方式工作。在 Https 中，请求参数是加密的。所以请求参数是安全的！

【讨论】：

我明白了，但是呢：主要是 HTTP 引荐来源网址泄漏（目标页面中的外部图像可能会泄漏密码[1]）浏览器中的历史缓存
很抱歉，因为我没有足够的声誉，所以我无法投票给你
当一个请求以 302 重定向响应时，浏览器不应将其存储在其历史记录中。

猜你喜欢

Spring oauth2 验证令牌请求 2013-04-11
Spring OAuth2 令牌请求中的 StackOverflowError 2016-09-06
spring security oauth2 使用异步请求 2016-07-19
如何使用 Spring Boot/Spring Security 包装对 OAuth2 不记名令牌请求的调用？ 1970-01-01
Spring-Security-OAuth2 - 如何添加字段以访问令牌请求？ 2017-04-06
使用 AJAX 请求 OAuth2 令牌 2023-10-26
使用 Spring Security OAuth2 进行访问令牌请求的 JWT 不记名交换 2023-12-31
如何使用带有 WebClient 的 spring-security-oauth2 自定义 OAuth2 令牌请求的授权标头？ 2021-09-19
使用 Spring Security 验证 oauth2 访问令牌 2017-08-03

相关资源

security.dll下载 2023-06-01
Agp_Security.dll下载 2022-12-11
Spring Regular字体,Spring字体下载下载 2023-07-10
App_SubCode_Security.dll下载 2023-01-24

最近更新更多

如何使用服务器端渲染更新角度数据表中的列数。 6.0.0 或更高版本 2025-11-21
在 DayOfWeek 列表中查找最近的工作日 2025-11-21
从 web 服务写入文件 2025-11-21
ConcurrentHashMap 和复合操作 2025-11-21
如何根据文本宽度调整 UILabel 宽度？ 2025-11-21

热门标签

Java Python linux javascript C# Mysql Docker 算法前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库机器学习大数据数据结构微服务 js 人工智能 Go Android 面试程序员 JVM 云原生后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构多线程 Spring Boot 云计算 LeetCode 分布式