Spring安全oauth2 : grant_type=password身份验证

Question

我使用Spring Oauth 2来保护web应用程序，实现一个三条腿的安全系统，当涉及到使用

grant_type=password

我注意到用于为用户获取令牌的URL是：

Method : POST + Basic-Authentication header for the client

http://host:port/api/oauth/token?grant_type=password&username=xxxxx&password=xxxx

我的问题是：

这种方法是否足够安全，因为它在URL上共享用户的凭据，如果它不是替代方案或改进？

向主机添加SSL证书是解决这个问题的解决方案吗？

谢谢

Answer 1

加密媒体上的明文身份验证并不少见--因此，通过加密连接进行未加密的密码。

但是，我不会在URL中发送凭据。它看起来很糟糕，同一个用户可能会对该URL进行书签。

您可以将凭据放在 Header中，只要您通过加密的连接发送它们，就可以了。

你的另一个选择是：

1. 让服务器为自己创建公钥和私钥。
2. 发送带有身份验证/登录pag的公钥
3. JavaScript使用公共密钥加密用户名和密码。
4. 发送HTTP或HTTPS (尽管如此，我还是会把它放在头中而不是URL中)
5. 服务器使用私钥解密和验证凭据。

tl；博士

最简单的解决方案是HTTPS和HTTP报头中的明文凭据