如何在角度和弹簧应用程序中隐藏访问令牌?

Posted

技术标签:

【中文标题】如何在角度和弹簧应用程序中隐藏访问令牌?【英文标题】:how to hide access token in angular and spring application? 【发布时间】:2019-10-02 09:55:25 【问题描述】:

我想在请求时从标头中隐藏访问令牌。并且需要在响应中隐藏它

我们通常通过 Spring Boot 应用程序获取访问令牌。当响应来自 Spring 并从标头访问令牌时,我需要隐藏它

【问题讨论】:

【参考方案1】:

一种方法是使用 RSA 或 3DES 算法从服务器发送加密的详细信息,并使用 CryptoJS 的密钥解密客户端上的令牌。

另一种方法是使用 CryptoJS 通过密钥加密/解密您的令牌。这样在token第一次进入客户端时就无法更改详细信息。

按照以下指南来实现它。 https://www.davidebarranca.com/2012/10/crypto-js-tutorial-cryptography-for-dummies/

【讨论】:

我的访问令牌在标题中可见。令牌对客户端(例如使用浏览器的用户)不是秘密。他们可以用令牌做任何他们想做的事情。他们可以将令牌复制/粘贴到 Postman 中并在那里使用 API 这就是为什么我说你需要加密它。任何人都不能玩弄加密令牌。他们需要一个解密密钥。没有解密,任何秘密都是无用的。

以上是关于如何在角度和弹簧应用程序中隐藏访问令牌?的主要内容,如果未能解决你的问题,请参考以下文章

如何刷新oAuth2令牌+弹簧安全

使弹簧靴和角度应用程序之间的模型保持同步。备择方案?

弹簧 4 + 角度 4

使用弹簧安全性和角度进行身份验证

如何隐藏“孩子”:[]从弹簧靴中一对多关系中的最后一个孩子

如何在 Reactjs Redux 应用程序中显示/隐藏 reactstrap 导航栏?