如何限制来自未知来源的 openid-connect 请求。
如果我们有可用的访问令牌,任何人都可以请求我们想要限制的用户信息(我们将用户信息和声明保存到用户信息中)。
意味着,我们应该只允许来自已知客户的请求。
注意:我们使用 Keycloak 作为身份服务器
请帮忙!!
问问题
269 次
1 回答
0
首先,访问令牌必须与用户凭据一样受到保护。OAuth2.0 框架给我们的是用动态生成的令牌替换基于用户名/密码的身份验证/授权的能力。因此,这些令牌必须受到保护。这就是为什么 TLS 是令牌传输的必要条件。
RFC6749 第 10.3 节- 访问令牌凭证(以及任何机密访问令牌属性)必须在传输和存储过程中保持机密,并且仅在授权服务器、访问令牌有效的资源服务器以及接收令牌的客户端之间共享颁发访问令牌。访问令牌凭据必须仅使用 1.6 节中描述的 TLS 传输,并使用 [RFC2818] 定义的服务器身份验证。
因此,如果您担心访问令牌滥用,您必须首先担心采用基于令牌的通信。您的客户必须足够安全,不会滥用令牌。
您还可以做的另一件事是启用CORS标头以限制对端点的访问。但是,这只是在保护令牌之后。!
ps或者,可以将网络配置设置为仅允许已知/有效的 IP 地址与您的后端通信。但这超出了 OIDC 协议。
于 2017-11-18T06:56:28.900 回答