我目前正在使用 spring 开发 oauth2 授权服务器。我想实现一个管理仪表板来管理用户。当然,用户管理的端点位于身份验证服务器上。要授权用户使用管理仪表板,他们当然需要登录,因此在尝试访问管理仪表板时,我将他们重定向到 /authorize 端点。但是,登录后,spring auth 服务器模块会在最终用户浏览器中放置一个会话 cookie,并将安全上下文保存到会话中。这不会破坏 oauth2 流程吗?
现在不需要请求不记名令牌,因为最终用户只需要该会话 ID 即可访问身份验证服务器上的管理端点。这对我来说似乎是一个安全风险。
我应该禁用保存安全上下文吗?
访问令牌仅用于从 OAuth2 客户端发送到 OAuth2 资源服务器的请求。
登录是客户端关心的问题,带有
oauth2Loginoauth2Login对仪表板应用程序(如果是 MVC 应用程序本身,如果是 SPA 或移动应用程序,则本身是 BFF)的请求将通过会话(和 CSRF 保护)进行保护。只有从仪表板应用程序到用户管理 REST API 的请求才能使用承载访问令牌进行保护。