如何使用 Spring Boot 和 Angular 应用程序隐藏授权标头

Question

我已经使用 Spring 安全性实现了 JWT 身份验证。由于 Authorization 标头在浏览器中可见，因此攻击者可以使用 Authorization 标头中存在的令牌来操纵数据。有什么办法可以限制这一点。我正在使用 Spring boot 和 Angular 8。感谢任何帮助。

数据操作示例

Answer 1

原则上，您永远不能信任客户。你必须处理被操纵的数据。

这意味着无论如何您都必须验证客户端请求。

在高层次上，这类问题有很多解决方案。

1) 在 created-by 的情况下，对我来说这是一个典型的不可更新字段，因为谁创建的东西永远不会改变。

1a) 在 JPA 中，可以用 updatable=false 注释列，因此对于合并操作，这将始终被忽略。

1b) 另一种选择是首先从内存中加载项目，并且仅使用请求中允许为该业务案例保存的属性，将允许的值复制到加载的项目并将加载的项目合并到数据库。

2.) 在其他情况下，例如对于 updated-by 字段，您需要交叉检查经过身份验证的用户是否与 updated-by id 匹配。如果不引发异常/401 什么的。

3.) 我猜这个更适合您的解决方案。我还建议不要传输为项目存储的全部数据，而是使用传输对象或用例对象。使用传输对象或用例对象，它实际上隐藏了数据，因为您只传输专用数据。这也是一个安全建议，因为您只是不想向任何人显示某些数据，因此如果您将它们隐藏在客户端但如果它已经发送给客户端，则有经验的用户始终可以通过检查或操纵。想象一下，每次显示一个人时，您都会发送一个人的薪水信息...... mapstruct 库是一种广泛使用的将数据对象映射到传输对象并返回的解决方案。

希望这有助于找到一个好的解决方案。

Answer 2

无法从浏览器中隐藏信息。它是一种客户端-服务器通信，因此用户始终可以使用开发工具探索页面 HTML 内容或 Http 标头或请求参数。

保护您的通信的方法是使用Https（因此包括标头在内的内容被加密）并使用短时间离开 JWT 令牌（通过使用到期日期和刷新令牌），因此攻击者更难冒充某人.