如何使用 Spring Boot 和 Angular 应用程序隐藏授权标头

Posted 2023-02-27

【中文标题】如何使用 Spring Boot 和 Angular 应用程序隐藏授权标头

【英文标题】：How to hide Authorization headers using Spring boot and Angular app

【发布时间】：2020-05-27 14:32:21

【问题描述】：

我已经使用 Spring 安全性实现了 JWT 身份验证。由于 Authorization 标头在浏览器中可见，因此攻击者可以使用 Authorization 标头中存在的令牌来操纵数据。有什么办法可以限制这一点。我正在使用 Spring boot 和 Angular 8。感谢任何帮助。

数据操作示例

【问题讨论】：

你为什么不使用cookie来做同样的事情

您的意思是经过身份验证的用户成为攻击者？除非没有办法获得令牌。对于攻击者，因为您已经使用服务器中的密钥生成了令牌，除非并且直到密钥是公开的；访问令牌不能被伪造。此外，如果经过身份验证的用户也这样做，您的应用程序应该对数据操作请求进行严格验证。就像要更新的记录的所有者实际上是登录用户（来自访问令牌）。

@YashRami，您能否提供任何参考，以便对您有所帮助。

@MidhunMohan，您的意思是对于有效用户，我们不能限制这一点。

@michaeak，我已经更新了问题。请检查一下。

【参考方案1】：

原则上，您永远不能信任客户。你必须处理被操纵的数据。

这意味着无论如何您都必须验证客户端请求。

在高层次上，这类问题有很多解决方案。

1) 在 created-by 的情况下，对我来说这是一个典型的不可更新字段，因为谁创建的东西永远不会改变。

1a) 在 JPA 中，可以用 updatable=false 注释列，因此对于合并操作，这将始终被忽略。

1b) 另一种选择是首先从内存中加载项目，并且仅使用请求中允许为该业务案例保存的属性，将允许的值复制到加载的项目并将加载的项目合并到数据库。

2.) 在其他情况下，例如对于 updated-by 字段，您需要交叉检查经过身份验证的用户是否与 updated-by id 匹配。如果不引发异常/401 什么的。

3.) 我猜这个更适合您的解决方案。我还建议不要传输为项目存储的全部数据，而是使用传输对象或用例对象。使用传输对象或用例对象，它实际上隐藏了数据，因为您只传输专用数据。这也是一个安全建议，因为您只是不想向任何人显示某些数据，因此如果您将它们隐藏在客户端但如果它已经发送给客户端，则有经验的用户始终可以通过检查或操纵。想象一下，每次显示一个人时，您都会发送一个人的薪水信息...... mapstruct 库是一种广泛使用的将数据对象映射到传输对象并返回的解决方案。

希望这有助于找到一个好的解决方案。

【参考方案2】：

无法从浏览器中隐藏信息。它是一种客户端-服务器通信，因此用户始终可以使用开发工具探索页面 html 内容或 Http 标头或请求参数。

保护您的通信的方法是使用Https（因此包括标头在内的内容被加密）并使用短时间离开 JWT 令牌（通过使用到期日期和刷新令牌），因此攻击者更难冒充某人.

【讨论】：

我们正在使用 Https。我们仍然面临这个问题。https会隐藏授权标头吗？ Alreday 令牌将被加密。

Https 将加密标头和请求/响应内容，如果您的应用程序已经在使用 https，则没有必要加密您的令牌，双重加密并不是“更安全”，只是不必要的复杂性。 Http通信的安全性与用户能看到的东西无关，浏览器看不到的，是关于这些信息是如何传输的。