Пропуск авторизации Oauth 2.0 с использованием дополнительного параметра заголовка в API Request - Spring Security

Question

Я реализовал Oauth 2.0 в SpringBoot API, используя Spring Security. Он работает нормально, и на данный момент существует требование пропустить аутентификацию при запросе с дополнительным заголовком после проверки доступности заголовка. Обычно клиентская сторона добавляет

skip-auth: true // пример

, затем со стороны сервера мы должны добавить фильтр для проверки пропусказначение auth, тогда, если оно истинно, нам нужно пропустить авторизацию и предоставить разрешение на доступ к ресурсам.

У кого-нибудь есть опыт работы с этим решением? или любой предложенный метод, который может создать эту запрашиваемую функциональность

Answer 1

Я думаю, что обход безопасности с каким-то секретным заголовком - действительно плохая идея. Можете ли вы изменить требование, чтобы вместо этого они отправляли фиксированный заголовок BasicAuth?

Затем вы можете разрешить Basic-Auth на соответствующих конечных точках в вашем WebSecurityConfig.

Answer 2

Вы никогда не должны держать бэкдоры на своем бэкэнде. Это явно одно. Простая декомпиляция приложения или мониторинг вкладки сети в браузере покажет этот, казалось бы, очевидный бэкдор. Вам необходимо поработать с людьми, отправившими требование, и попросить их определить, какие конечные точки нуждаются в полной защите, а к каким можно обращаться анонимно.

Конечные точки, к которым можно получить анонимный доступ, можно защитить с помощью ROLE_ANONYMOUS и определением AnonymousAuthenticationFilter в цепочке прокси-фильтра.