search

dromara / Sa-Token

一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0
https://sa-token.cc
Apache License 2.0
16.22k stars 2.58k forks source link

建议Oauth2 增加 base64(client_id:client_secret)自动解析功能 以看似提升了安全性~ #558

Closed jdami closed 1 month ago

jdami commented 9 months ago

建议增加的新功能:

首先感谢大佬们无私奉献开源这个牛批的项目 - -

建议Oauth2 增加 base64(client_id:client_secret)自动解析功能 以看似提升了安全性~:

应用场景阐述:

很多企业安全扫描,包括等级保护的评测都要求前端不得传输,明文的密码、密钥。 目前我们使用的是oauth2 来实现C端的登录认证服务和openapi的client访问授权。openapi 接口交互是服务端对服务端 明文传输倒是没什么大问题, 用户前端采用password模式 进行密码登录。 这样就不得不将client_secret进行明文传输,后端我看了下代码是可以通过重写SaOAuth2Handle 或者 SaOAuth2Template的方法来实现前端加密后端解密操作。不过我不太确认是否可以把所有涉及的地方都能正确的修改到。 是否参考security oauth2实现可以从框架层面直接支持 header: Authorization:Basic base64(client_id:client_secret) 自动解析?

CuiGeekYoung commented 5 months ago

606 已解决,待合并

click33 commented 1 month ago

已合并,敬请期待后续版本