Rest Api i OAuth2.0 - Spring, React

pytanie zadane 18 czerwca 2022 w Java przez `Krzychuu Stary wyjadacz (13,940 p.)

Witam,

w jaki sposób zabezpieczacie OAuth2 powiązany z REST API? Widziałem projekt który generował oddzielnie access token dla frontu napisanego w React i żadne tokeny od np. Google nie były wysyłane do frontu

1 odpowiedź

odpowiedź 18 czerwca 2022 przez Wiciorny Ekspert (281,510 p.)

Dokladnie opisany mechanizm dzialania masz tutaj https://sekurak.pl/oauth-2-0-jak-dziala-jak-testowac-problemy-bezpieczenstwa/
Skoro REST API odpowiada za interfejs komunikacji aplikacj, to tak naprawdę OAuth2 wpływa na to jak budowane sa ednpointy i payloady podczas przeplywu informacji zarowno w Request - jak i Response.

komentarz 18 czerwca 2022 przez `Krzychuu Stary wyjadacz (13,940 p.)

jeżeli dobrze zrozumiałem to w kwestii bezpieczeństwa lepsze podejście jest takie jakie opisałem w temacie czyli client-server trzyma tokeny od google a komunikacja między client-server a react odbywa się na podstawie jwt wygenerowanym oddzielnie

komentarz 18 czerwca 2022 przez Wiciorny Ekspert (281,510 p.)

pytanie tylko dlaczego chcesz dzielić tokeny? Jaki to jest rodzaj aplikacji, czy token określasz jako - jedno połączenie, czy bardziej traktujesz token jako autoryzacje dla użytkownika- jako powiązanie z nim konta,

Zakodowanie tokena z Oath mozesz zrobić albo z pomocą JWT, albo samemu to zakodować.
Generalnie idea tego jest opisana szerzej: OAuth 2.0 Bearer Token Usage

https://datatracker.ietf.org/doc/html/rfc6750

Pytanie tylko jest takie na jakim bezpieczeństwie Ci zależy? BO generalnie rzecz biorąc tokeny można wykraść, ale to nie jest tak proste, sklei dobrze skomponowane tokeny praktycznie są niemożliwe do "wygenerowania" z poziomu 3 osoby - jako próba duplikacji i identyfikacji

Spójrz jeszcze sobie tutaj na możliwości implementacji w odniesieniu do Springa:
https://medium.com/@ChamithKodikara/jwt-oauth2-authentication-example-with-spring-boot-2-2e92bacd68e5

komentarz 18 czerwca 2022 przez `Krzychuu Stary wyjadacz (13,940 p.)

chciałbym stworzyć aplikację w Springu z Reactem na froncie, chciałbym zrealizować ją tak samo jak przy użyciu tylko JWT i swoje bazy danych użytkowników, np. użytkownik się loguje do aplikacji react wysyła request to serwera z danymi do logowania, jeżeli są poprawne to serwer zwraca jwt access token z id użytkownika i rolami i gdy użytkownik chce zobaczyć listę wszystkich użytkowników to wysyła request do serwera z access tokenem i dostaje odpowiedz. Chciałbym to wszystko zostawić tak jak jest tylko nie trzymać użytkownika z loginem i hasłem w swojej bazie danych tylko oddelegować to np. do Google, wstępnie połączyłem aplikację Spring z OAuth i logowanie przy pomocy Google działa tylko teraz mam problem jak rozwiązać sprawę z frontem w React