Closed jdami closed 1 month ago
首先感谢大佬们无私奉献开源这个牛批的项目 - -
建议Oauth2 增加 base64(client_id:client_secret)自动解析功能 以看似提升了安全性~:
很多企业安全扫描,包括等级保护的评测都要求前端不得传输,明文的密码、密钥。 目前我们使用的是oauth2 来实现C端的登录认证服务和openapi的client访问授权。openapi 接口交互是服务端对服务端 明文传输倒是没什么大问题, 用户前端采用password模式 进行密码登录。 这样就不得不将client_secret进行明文传输,后端我看了下代码是可以通过重写SaOAuth2Handle 或者 SaOAuth2Template的方法来实现前端加密后端解密操作。不过我不太确认是否可以把所有涉及的地方都能正确的修改到。 是否参考security oauth2实现可以从框架层面直接支持 header: Authorization:Basic base64(client_id:client_secret) 自动解析?
已合并,敬请期待后续版本
建议增加的新功能:
首先感谢大佬们无私奉献开源这个牛批的项目 - -
建议Oauth2 增加 base64(client_id:client_secret)自动解析功能 以看似提升了安全性~:
应用场景阐述:
很多企业安全扫描,包括等级保护的评测都要求前端不得传输,明文的密码、密钥。 目前我们使用的是oauth2 来实现C端的登录认证服务和openapi的client访问授权。openapi 接口交互是服务端对服务端 明文传输倒是没什么大问题, 用户前端采用password模式 进行密码登录。 这样就不得不将client_secret进行明文传输,后端我看了下代码是可以通过重写SaOAuth2Handle 或者 SaOAuth2Template的方法来实现前端加密后端解密操作。不过我不太确认是否可以把所有涉及的地方都能正确的修改到。 是否参考security oauth2实现可以从框架层面直接支持 header: Authorization:Basic base64(client_id:client_secret) 自动解析?