0
REST APIの認可と認証にSpring Securityを使用したSpringブートのアプリケーションがあります。REST APIのX-Auth-Tokenを使用したSpringセキュリティ
私たちはREDISサーバーを実行しています。これは春のセキュリティとX-AUTH-TOKENを格納し、404 RESPONSEのHEADERパラメータとして/ loginを実行するユーザーに送信します。
このX-AUTH-TOKENは、他のREST APIを認証するためのヘッダパラメータとして使用できます。
ここでの問題は、ユーザがこのX-AUTH-TOKENをコピーして別のマシンから、それを使用し、X-AUTH-TOKENが生成されるログイン資格情報をバイパスすることができるということです。
どのようにSpringセキュリティトークンベースでこのセキュリティ違反を無効にするのですか?あなたは、あなたが独自にマシンを識別し、その同じかどうかを検証することができ、特許請求の範囲にカスタムフィールドを追加することができますJSONウェブトークンを使用している場合