我目前正在编写一个 Web 应用程序,该应用程序使用浏览器的隐式授予流来获取一个 ID 令牌,该 ID 令牌附加到对后端 api 的所有后续请求。
在我的后端,每当有请求进入时,id 令牌都需要获取并验证其 JWKS 信息,然后必须将唯一用户 id 发送到我们的数据库以查找该用户的帐户,其中将包括他们的角色信息。
现在我正在从我的数据库中获取用户帐户,只是假设令牌可以被信任,同时验证令牌,然后只有在两者都成功时才继续。因此,即使令牌已过期,我也会发出额外的数据库请求,以便在验证令牌后立即准备好数据,但是最近的 Spectre 和 Meltdown 推测执行攻击让我想知道您的服务器预取数据是否存在任何安全风险在它知道信任用户之前?
我猜实际上不应该有,但我离专家还很远,并且一直在努力寻找任何关于这方面的文章......