对于springboot应用程序,将client_secret存储在application.yml中是个好主意吗?

问题描述 投票:0回答:1

我是后端新手,我在网上阅读了教程。似乎人们建议在 application.yml 中执行此操作:

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: <YOUR_CLIENT_ID>
            client-secret: <YOUR_CLIENT_SECRET>
            scope: openid,profile,email
      resourceserver:
        jwt:
          issuer-uri: https://accounts.google.com
          jwk-set-uri: https://www.googleapis.com/oauth2/v3/certs

在这里存储客户端机密安全吗?或者有其他更好的选择吗?

security oauth
1个回答
0
投票

不,这不安全。

您应该在启动应用程序时放置一个虚拟值并覆盖它,使用众多 Spring Boot 属性覆盖选项之一(

-Dspring.security.oauth2.client.registraion.google.client-secret="change-me"
命令行参数,
SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_GOOGLE_CLIENT_SECRET
环境变量,...)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.