如何在spring安全中禁用/oauth/token的GET option端点并仅保留POST选项？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

研究表明，仅依赖用户意识培训已不足以应对此类利用合法认证界面的高级钓鱼手段，必须通过技术控制与策略配置协同强化OAuth授权流的安全边界。...为支持无浏览器设备（如智能电视、IoT终端）或受限环境下的身份认证，微软在其Azure AD中实现了OAuth 2.0设备授权流程（RFC 8628）。.../devicelogin 并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft...4 防御策略体系构建4.1 禁用非必要设备授权流程最直接的缓解措施是在Azure AD中禁用设备代码授权流程。...因此，更可行的方案是“最小化启用”：仅对特定安全组（如IT管理员、开发团队）开放设备授权权限，其余用户默认禁用。此外，OAuth权限模型本身存在粒度不足问题。

2521 0

使用VPC端点安全连接AI代理网关技术解析

可以选择启用VPC流日志来记录到代理核心网关的IP流量关键考虑因素私人和公共网络通信 - 接口VPC端点通过AWS PrivateLink实现从代理到代理核心网关的入站流量的安全通信，确保此流量保留在私有网络中...对于描述，输入有意义的描述，如"用于运行AI代理的EC2实例的安全组"对于VPC，选择目标VPC添加EC2实例管理的相关入站规则，例如来自管理网络或堡垒主机的SSH（端口22）将出站规则保留为默认值（允许所有出站流量...- 保留为默认值（允许所有流量）以支持响应流量此安全组配置通过确保只有具有代理安全组的EC2实例可以访问VPC端点，同时阻止来自VPC中其他资源的未经授权访问，实现了最小权限原则。...: 172.31.91.174当为代理核心网关VPC接口端点选择启用DNS名称时，默认情况下AWS会开启"仅针对入站端点启用私有DNS"选项。...它使用承载令牌身份验证并在输出中包含响应头，调用tools/list方法来发现通过网关可访问的工具。私有DNS禁用（Python）当禁用私有DNS时，无法通过标准代理核心网关端点直接访问网关。

2121 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

为支持无浏览器设备（如IoT终端、命令行工具）的身份验证，微软在其Azure Active Directory（Azure AD）中实现了OAuth 2.0设备授权流程（RFC 8628）。...以Microsoft Entra ID为例，设备授权端点为：POST https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecodeContent-Type...3.3 归因模糊化与防御挑战由于所有攻击均通过合法OAuth流程完成，日志中仅显示正常用户授权行为，缺乏异常IP或恶意载荷特征。...5 防御策略体系构建5.1 禁用非必要的设备授权流程最直接的缓解措施是在Azure AD中禁用设备代码授权服务主体。...6 工程实践中的权衡与挑战全面禁用设备授权流程虽有效，但在DevOps、远程办公等场景中可能造成业务中断。

2301 0

SpringBoot3集成Swagger

springdoc.show-login-endpoint false Boolean.使 Spring 安全登录端点可见。...springdoc.show-oauth2-endpoint false Boolean.使 Spring 安全性 oauth2 端点可见。...空数组禁用所有操作的“试用”。这不会从显示中过滤操作。 springdoc.swagger-ui.queryConfigEnabled false Boolean.自以来禁用。...springdoc.swagger-ui.oauth.clientSecret String.默认客户端机密。切勿在生产环境中使用此参数。它公开了重要的安全信息。此功能仅适用于开发/测试环境。...代码交换的证明密钥为 OAuth 公共客户端带来了增强的安全性。

4.1K3 0

Spring Security OAuth 2开发者指南译

自定义UI 大多数授权服务器端点主要由机器使用，但是有一些资源需要一个UI，而这些资源是GET /oauth/confirm_access和HTML响应/oauth/error。...您也可能希望使用Spring Security requiresChannel()限制来保护端点。对于/authorize端点，由您来做，作为您正常应用程序安全性的一部分。...在这两种情况下，安全通道设置是可选的，但是如果Spring Security在不安全的通道上检测到请求，则会导致Spring Security重定向到安全通道。...我们配置了/oauth/check_token端点和/oauth/token_key端点（所以信任的资源可以获得JWT验证的公钥）。...该id仅由客户端用于查找资源; 它在OAuth协议中从未使用过。它也被用作bean的id。 clientId：OAuth客户端ID。这是OAuth提供商识别您的客户端的ID。

2.8K1 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

研究揭示了当前OAuth生态中重定向URI校验宽松、客户端凭据管理疏漏、用户授权界面缺乏风险提示等关键脆弱点，并结合真实攻击链路，提出涵盖策略控制、运行时检测与响应、开发安全加固三位一体的纵深防御框架。...本文基于近期披露的Tycoon与EvilProxy攻击样本，深入剖析其技术实现细节，识别OAuth授权链条中的关键失效点，并构建覆盖预防、检测、响应全周期的防御体系。...该流程的安全性依赖于若干前提：redirect_uri必须严格匹配预注册值，防止授权码泄露至攻击者控制的端点；client_secret仅由可信Client持有，用于证明其身份；用户授权界面清晰展示应用名称...3.2 令牌持久化与横向移动获取授权码后，PhaaS平台立即向令牌端点发起请求：POST /common/oauth2/v2.0/token HTTP/1.1Host: login.microsoftonline.comContent-Type...对于关键应用，建议采用短期密钥（如7天有效期）并自动化轮换流程。5 讨论与挑战尽管上述措施可显著提升防御能力，但在实践中仍面临挑战。

2871 0

浏览器中存储访问令牌的最佳实践

在审查威胁之后，它描述了一种解决方案，以提供最佳的浏览器安全选项，用于必须与OAuth保护的API集成的JavaScript应用程序。...例如，攻击者可以在网站中嵌入精心设计的图像源字符串，以触发浏览器运行GET请求，或者在恶意网站上添加表单，以触发POST请求。...因此，攻击者可以默默地代表用户执行请求，并调用用户可以调用的任何端点。然而，攻击者无法读取响应，所以他们通常以一次性状态更改请求为目标，如更新用户的密码。...因此，在使用localStorage时，请考虑终端安全性。考虑并防止浏览器之外的攻击向量，如恶意软件、被盗设备或磁盘。根据上述讨论，请遵循以下建议: 不要在本地存储中存储敏感数据，如令牌。...OAuth代理解密cookie并将令牌添加到上游API。cookie属性确保浏览器仅将cookie添加到HTTPS请求中，以确保它们在传输过程中是安全的。由于令牌是加密的，它们在休息时也是安全的。

3.3K1 0

Spring Security OAuth 2.0 发放令牌接口地址自定义

OAuth 2.0 如何获取令牌以密码模式为例，获取 Token curl --location --request POST 'http://oauth-server/oauth/token' \...如何在不重写此接口的情况下，自定义路径地址。...Spring Security OAuth2 为我们提供了丰富的配置，我们可以在 AuthorizationServerConfigurerAdapter 设置所有内置端点（Endpoint）路径的自定义...security oauth2 是如何实现这种端点自定义配置的呢？...项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统欢迎关注

2.2K2 0

Spring Security OAuth 2开发者指南

自定义UI 大多数授权服务器端点主要由机器使用，但是有一些资源需要一个UI，那些是GET /oauth/confirm_access和HTML响应/oauth/error。...您也可能希望使用Spring Security requiresChannel()约束保护端点。对于/authorize端点，由您来做，作为正常应用程序安全性的一部分。...在这两种情况下，安全通道设置是可选的，但是如果Spring Security在不安全的通道上检测到请求，则会导致Spring Security重定向到安全通道。...该白色标签错误的端点提供了HTML的响应，但用户可能需要提供自定义实现（如只需添加一个@Controller带@RequestMapping("/oauth/error")）。...我们配置了/oauth/check_token端点和/oauth/token_key端点（所以信任的资源可以获取JWT验证的公钥）。

2.7K2 0

RaccoonO365钓鱼即服务的运作机制与防御体系构建

在此基础上，提出一套覆盖身份验证、协议配置、日志监控与用户培训的纵深防御框架，并通过条件式访问策略、遗留协议禁用、OAuth同意审计等具体措施，构建可落地的企业级防护体系。...攻击者可直接使用这些Cookie在浏览器中维持登录会话，或利用刷新令牌在后台静默获取新的访问令牌（Access Token），从而绕过所有基于密码的二次验证。...包括初始POST、MFA重定向、设备信任等# 此处仅示意auth_url = "https://login.microsoftonline.com/common/oauth2/v2.0/token"payload...{'refresh_token': tokens.get('refresh_token'),'access_token': tokens.get('access_token')}else:return...微软数据显示，启用MFA的账户若仍开放IMAP，遭攻破概率提升83%。应在Azure AD中全局禁用遗留认证，并通过Conditional Access策略强制执行。

1641 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

授权完成后，攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌（Refresh Token），从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...ABCD-EFGH）；用户在另一台设备访问 https://aka.ms/devicelogin，输入 user_code；用户登录并授权该应用；客户端轮询 /token 端点，一旦用户授权，立即获取...更隐蔽的是，攻击者可申请最小必要权限（如仅 Mail.Read），避免触发高风险权限警报。而企业若未启用条件访问（Conditional Access）策略，这类低权限授权几乎不会被审计系统标记。...四、企业自救指南：三步堵住“合法后门”面对如此高阶的攻击，企业不能坐以待毙。芦笛与安全社区共同提出以下防御策略：1. 禁用不必要的设备代码授权在 Azure AD 中，默认所有租户都启用了设备代码流。...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

3211 0

Spring Boot 中文参考指南(二)-Web

，并保留Spring Boot MVC自定义，您可以声明WebMvcRegistrations类型的bean，并使用它来提供这些组件的自定义实例。...Spring Boot 默认是禁用后缀匹配模式的，像"GET /projects/spring-boot.json"这样的地址不会跟@GetMapping("/projects/spring-boot"...整个应用程序（如果actuator在类路径上，则包括actuator端点）的基于表单的登录或HTTP基本安全性（取决于请求中的Accept标头）。...要完全关闭默认的Web应用程序安全配置或合并多个Spring Security组件，如OAuth2客户端和资源服务器，请添加SecurityFilterChain类型的bean（这样做不会禁用UserDetailsService...仅处理与/login/oauth2/code/*匹配的URL。

5.2K3 0

Spring Cloud Security OAuth2 中实现密码模式

Spring Cloud Security OAuth2是Spring Cloud提供的基于OAuth2协议的安全授权框架，它可以让我们轻松地实现OAuth2的各种授权流程。...添加Spring Cloud Security OAuth2依赖在项目中添加Spring Cloud Security OAuth2的依赖，以支持OAuth2协议的安全授权功能。...我们配置了使用数据库存储OAuth2的客户端信息，并配置了认证服务器的端点，同时还配置了允许表单认证。...我们使用了Spring Security提供的JdbcAuthentication，将用户信息存储在MySQL数据库中。...同时，我们还配置了"/oauth/token"接口的访问权限，并禁用了跨站请求伪造防护。三、测试授权流程在完成以上的配置后，我们就可以使用密码模式进行授权了。

1.7K2 0

Spring Boot 与 Spring Security 的集成及 OAuth2 实现

本文将详细介绍如何在 Spring Boot 中集成 Spring Security，并实现 OAuth2 授权。 1....以及相关的 OAuth2 端点 URL。...使用 OAuth2 保护 API 为了保护我们的 API，使其只能通过 OAuth2 授权访问，我们需要将应用配置为资源服务器。资源服务器负责保护资源（如 API），并验证访问令牌的有效性。...前端集成与访问受保护的资源在前端应用中（如使用 React 或 Angular），当用户通过 OAuth2 登录成功后，应用会获取到一个访问令牌。...总结通过这篇博客，我们介绍了如何在 Spring Boot 中集成 Spring Security 和 OAuth2 进行安全保护。

3.8K1 0

spring authorization server oidc客户端发起登出源码分析

版本 spring-security-oauth2-authorization-server:1.2.1 场景 spring authorization server OIDC协议，支持处理依赖方（客户端...）发起的登出请求，注销授权服务器端的会话流程：客户端登出成功->跳转到授权服务端OIDC登出端点->授权服务端注销会话->跳转回客户端(可选) 源码 OIDC 登出端点配置器 org.springframework.security.oauth2...final class OidcLogoutEndpointFilter extends OncePerRequestFilter { // 默认的端点地址，用于处理OIDC依赖方发起的登出请求...); } // 如果请求中携带了客户端ID，校验是否与ID TOKEN对应客户端注册信息的ID一致 if (StringUtils.hasText(oidcLogoutAuthentication.getClientId..., OAuth2ParameterNames.CLIENT_ID); } // 如果请求中携带了登出后跳转地址，校验是否包含在客户端注册信息的登出后跳转地址清单中 if (StringUtils.hasText

6200 0

Spring Security 6.x 微信公众平台OAuth2授权实战

图片上一篇介绍了OAuth2协议的基本原理，以及Spring Security框架中自带的OAuth2客户端GitHub的实现细节，本篇以微信公众号网页授权登录为目的，介绍如何在原框架基础上定制开发OAuth2...1.2 服务端重定向服务端在收到请求后，就弹出用户授权页面，用户同意授权后（如使用静默授权则直接通过），又会重定向到redirect_uri的地址，并携带code和state参数，例如redirect_uri...标准协议，即上一步获取的code参数 grant_type：必填参数，同OAuth2标准协议，固定值“authorization_code” 这个端点看似是用GET请求，但实测用POST请求也是可以获取到...仅支持application/json 根据OAuth2标准协议，返回的数据字段中缺少了一个必须字段：token_type，需要自动填充进去，否则反序列化时就会报错 3....在获取用户信息时，包括需要在请求地址中拼接access_token，openid这两个参数，并指定为GET请求同上，需要兼容text/plain的MediaType 二、开发实战下面我们逐步介绍如何优雅地实现这些定制需求

1.3K1 0

Spring Security SSO 授权认证（OAuth2）

Spring Security SSO 授权认证（OAuth2） @TOC 手机用户请横屏获取最佳阅读体验，REFERENCES中是本文参考的链接，如需要链接和更多资源，可以关注其他博客发布地址。...我们将使用三个单独的应用程序：授权服务器 - 这是中央身份验证机制两个客户端应用程序：使用SSO的应用程序非常简单地说，当用户试图访问客户端应用程序中的安全页面时，他们将被重定向到首先通过身份验证服务器进行身份验证...我们将使用OAuth2中的授权代码授权类型来驱动身份验证委派。...安全配置首先，我们将通过application.properties禁用默认的基本身份验证： server.port=8081 server.servlet.context-path=/auth 现在...，在我们的示例中，我们定义了授权服务器，但当然我们也可以使用其他第三方提供商，如Facebook或GitHub。

2.5K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...实验验证表明，所提方案可有效识别并阻断90%以上的高风险OAuth同意请求，显著降低企业云环境中的数据泄露风险。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...3.2 权限范围缺乏上下文解释OAuth同意页面仅列出权限名称（如“Mail.Read”），未说明其实际能力（“可读取所有邮件，包括已删除项”）。用户难以判断风险。...未来工作将聚焦于权限最小化自动化推荐、应用开发者信誉链构建，以及跨租户授权行为的联邦式监控。唯有将“零信任”原则深度融入OAuth治理，才能真正实现云身份安全的可持续防护。

2441 0

Spring Security OAuth2.0实现

授权服务(Authorization Server)：应包含对接入端以及登入用户的合法性进行验证并颁发token等功能，对令牌的请求端点由 Spring MVC 控制器进行实现，下面是配置一个认证服务必须要实现的.../oauth/check_token：用于资源服务访问的令牌解析端点。 /oauth/token_key：提供公有密匙的端点，如果你使用JWT令牌的话。....allowedTokenEndpointRequestMethods(HttpMethod.POST); //允许post提交 } 配置令牌端点安全约束 AuthorizationServerSecurityConfigurer...使用授权服务的/oauth/check_token端点需要在授权服务将这个端点暴露出去，以便资源服务可以进行访问。...使用令牌请求资源：令牌申请成功后，还可以使用/uaa/oauth/check_token校验令牌的有效性，并查询令牌的内容：数据库动态配置目前为止客户端信息和授权码仍然存储在内存中，生产环境中通常会存储在数据库中

3.6K3 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...典型场景中，受害者收到伪装成Windows更新失败或CAPTCHA验证的页面，被要求复制一段PowerShell或CMD命令并粘贴至终端执行。此类命令通常会下载恶意载荷、建立持久化后门或禁用安全软件。...由于涉及本地进程操作，传统EDR（端点检测与响应）系统可通过行为监控识别异常。然而，随着终端安全能力的增强，攻击者开始寻求“无端点接触”（endpoint-less）的攻击路径。...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌：POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type

1931 0

点击加载更多

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

使用VPC端点安全连接AI代理网关技术解析

设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

SpringBoot3集成Swagger

Spring Security OAuth 2开发者指南译

高级OAuth钓鱼攻击的演化机制与防御体系构建

浏览器中存储访问令牌的最佳实践

Spring Security OAuth 2.0 发放令牌接口地址自定义

Spring Security OAuth 2开发者指南

RaccoonO365钓鱼即服务的运作机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

Spring Boot 中文参考指南(二)-Web

Spring Cloud Security OAuth2 中实现密码模式

Spring Boot 与 Spring Security 的集成及 OAuth2 实现

spring authorization server oidc客户端发起登出源码分析

Spring Security 6.x 微信公众平台OAuth2授权实战

Spring Security SSO 授权认证（OAuth2）

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

Spring Security OAuth2.0实现

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐