.well-known/openid-configuration 页面中的信息暴露在互联网上,是不是存在安全问题?
Posted
技术标签:
【中文标题】.well-known/openid-configuration 页面中的信息暴露在互联网上,是不是存在安全问题?【英文标题】:Information in .well-known/openid-configuration page is exposed to internet, a security concern?.well-known/openid-configuration 页面中的信息暴露在互联网上,是否存在安全问题? 【发布时间】:2021-08-06 15:04:03 【问题描述】:我正在对客户端进行安全扫描,并观察到他们已经实现了 OpenID。在阅读时,我了解到这个 URL .well-known/openid-configuration,它有大量信息(端点-authorize、connect、userinfo、jwks、范围等)公开。
我有两个问题:
-
向公众公开这些信息是否存在安全问题?有没有办法只提供给需要的用户。
我是 OpenID connect 的新手,一篇实现自定义 OpenID 服务器的简单而好文章。
【问题讨论】:
【参考方案1】:-
如果外部世界(例如移动应用程序)需要,公开元数据是非常标准的。它的主要用途是客户端应用程序中的安全库,以查找其他端点,以进行授权和令牌发布。
如果您没有 Internet 客户端,那么某些提供商将允许您关闭端点,或仅通过内部网络公开它。通常会避免暴露更敏感的数据,例如自定义声明和范围。
-
通常使用基于标准的免费服务器而不是实现 OpenID 服务器,然后专注于集成 UI 和 API。那里有很多工作,因为 OAuth 非常具有架构性。
在 Curity,我们有一个功能齐全的免费版本,快速入门的方法是通过 docker tutorial。然后登录开发者门户并下载许可文件。
运行安装后,您可以浏览到这些 URL。然后专注于集成您的应用:,
http://localhost:6749/admin http://localhost:8443/oauth/v2/oauth-anonymous/.well-known/openid-configuration或者选择其他提供商 - 并遵循使用大型构建块的相同方法。
【讨论】:
所以暴露的端点根本不是安全问题,这是否意味着潜在的黑客无法对这些信息做任何事情?以上是关于.well-known/openid-configuration 页面中的信息暴露在互联网上,是不是存在安全问题?的主要内容,如果未能解决你的问题,请参考以下文章