如何保护 Angular 和 Spring 应用程序

Question

我们开发了一个应用程序，使用 Angular 5 作为前端，Spring Boot 作为后端。 第一个页面是登录页面，它调用一个 rest api 在后端使用 LDAP 进行身份验证。 我们正在使用带有 JWT 的 OAuth 实现。因此，当用户登录时，凭据用户名和密码是 via。将正文中的 POST 请求发送到其余 api 以进行身份​​验证。 在标头中，我们为 Oauth 发送 clientId 和 secret。 问题是凭据在请求中暴露，可以在浏览器开发人员选项中看到。 我需要一种方法来屏蔽/加密这些凭据。

Answer 1

您可以使用 cypto-js 库从您的 Angular 应用程序中加密您的密码。

安装：

npm install crypto-js

用法：

var AES = require("crypto-js/aes");
var SHA256 = require("crypto-js/sha256");
var MD5 = require("crypto-js/md5");
console.log(AES("YOUR PASSWORD"));//AES ENCRYPTION
console.log(SHA256("YOUR PASSWORD"));//SHA256 ENCRYPTION
console.log(MD5("YOUR PASSWORD"));//MD5 ENCRYPTION

谢谢，希望对你有帮助！

Answer 2

嗯，网络选项卡中的请求中暴露的密码是很“正常的”——毕竟你的 API 需要读取密码并检查它是否有效。

您仍然可以做几件事：

• 您绝对应该通过 https 进行通信，并且还可以使用多个额外的安全标头
• 您可以在浏览器端对密码进行哈希处理，并将哈希处理为用户密码
  • 在客户端更改哈希函数几乎是不可能的，因为它要求所有用户重新更新他们的密码
  • 您无法进行任何 API 端密码强度验证
• 可以在浏览器端对密码进行加密，在API中解密。
  • 您仍然应该在 API 中对密码进行哈希处理，并且不存储来自客户端的加密密码（因为加密在源代码中对用户可见）

我实际上不喜欢 Hash 变体，因为您失去了对密码强度的控制，理论上有人可以使用 API 并使用密码“Test”或类似的东西创建用户。

第二种方法确实对您有所帮助，因此它在“网络”选项卡中不可见。但请注意，如果有人真的在乎，他可以在你的源代码中查找加密，如果他有权访问它，仍然可以在请求中解密它