• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Rest Api i OAuth2.0 - Spring, React

VPS Starter Arubacloud
+1 głos
597 wizyt
pytanie zadane 18 czerwca 2022 w Java przez `Krzychuu Stary wyjadacz (13,940 p.)
Witam,

w jaki sposób zabezpieczacie OAuth2 powiązany z REST API? Widziałem projekt który generował oddzielnie access token dla frontu napisanego w React i żadne tokeny od np. Google nie były wysyłane do frontu

1 odpowiedź

+1 głos
odpowiedź 18 czerwca 2022 przez Wiciorny Ekspert (277,460 p.)

Dokladnie opisany mechanizm dzialania masz tutaj https://sekurak.pl/oauth-2-0-jak-dziala-jak-testowac-problemy-bezpieczenstwa/
Skoro REST API odpowiada za interfejs komunikacji aplikacj, to tak naprawdę OAuth2 wpływa na to jak budowane sa ednpointy i payloady podczas przeplywu informacji zarowno w Request - jak i Response. 

komentarz 18 czerwca 2022 przez `Krzychuu Stary wyjadacz (13,940 p.)
jeżeli dobrze zrozumiałem to w kwestii bezpieczeństwa lepsze podejście jest takie jakie opisałem w temacie czyli client-server trzyma tokeny od google a komunikacja między client-server a react odbywa się na podstawie jwt wygenerowanym oddzielnie
komentarz 18 czerwca 2022 przez Wiciorny Ekspert (277,460 p.)
pytanie tylko dlaczego chcesz dzielić tokeny? Jaki to jest rodzaj aplikacji, czy token określasz jako - jedno połączenie, czy bardziej traktujesz token jako autoryzacje  dla użytkownika- jako powiązanie z nim konta,

Zakodowanie tokena z Oath mozesz zrobić albo z pomocą JWT, albo samemu to zakodować.
Generalnie idea tego jest opisana szerzej: OAuth 2.0 Bearer Token Usage

https://datatracker.ietf.org/doc/html/rfc6750

Pytanie tylko jest takie na jakim bezpieczeństwie Ci zależy? BO generalnie rzecz biorąc tokeny można wykraść, ale to nie jest tak proste, sklei dobrze skomponowane tokeny praktycznie są niemożliwe do "wygenerowania" z poziomu 3 osoby - jako próba duplikacji i identyfikacji

Spójrz jeszcze sobie tutaj na możliwości implementacji w odniesieniu do Springa:
https://medium.com/@ChamithKodikara/jwt-oauth2-authentication-example-with-spring-boot-2-2e92bacd68e5
komentarz 18 czerwca 2022 przez `Krzychuu Stary wyjadacz (13,940 p.)
chciałbym stworzyć aplikację w Springu z Reactem na froncie, chciałbym zrealizować ją tak samo jak przy użyciu tylko JWT i swoje bazy danych użytkowników, np. użytkownik się loguje do aplikacji react wysyła request to serwera z danymi do logowania, jeżeli są poprawne to serwer zwraca jwt access token z id użytkownika i rolami i gdy użytkownik chce zobaczyć listę wszystkich użytkowników to wysyła request do serwera z access tokenem i dostaje odpowiedz. Chciałbym to wszystko zostawić tak jak jest tylko nie trzymać użytkownika z loginem i hasłem w swojej bazie danych tylko oddelegować to np. do Google, wstępnie połączyłem aplikację Spring z OAuth i logowanie przy pomocy Google działa tylko teraz mam problem jak rozwiązać sprawę z frontem w React

Podobne pytania

+2 głosów
2 odpowiedzi 350 wizyt
0 głosów
2 odpowiedzi 1,471 wizyt
pytanie zadane 10 sierpnia 2019 w Java przez Aisekai Nałogowiec (42,190 p.)
0 głosów
1 odpowiedź 436 wizyt
pytanie zadane 13 czerwca 2023 w Java przez Mikołaj Pątkowski Użytkownik (530 p.)

92,975 zapytań

141,938 odpowiedzi

321,181 komentarzy

62,302 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...