Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWTJAVA

Программисты JAVA общаются здесь
Ответить Пред. темаСлед. тема
Anonymous
 Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Сообщение Anonymous »

Я читал пружинную документацию по авторизации httpservletrequests и jwts .
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос.
. /api/v1/venants/{tenantId}/user/{userId}/settings
Мне нужно убедиться, что пользователь 123 из арендатора 1 может только разрабатывать свои собственные настройки. Ни настройки других пользователей одного и того же арендатора, ни настройки пользователей других арендаторов.@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
или, на уровне метода: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}

Я думал о том, чтобы дать всем своим пользователям rafe campope_tenant: {tenantid} при выпуске их jwt и делаю что-то подобное (их имя пользователя-их адрес электронной почты, поэтому я не могу использовать @preauthorize ("#userid == authentication.name"):
public static void checkAllowedToAccessTenantAndUser(long tenantId, long userId) {
Jwt jwt = getJWT();

long jwtUserId = jwt.getClaim("userId");
long jwtTenantId = jwt.getClaim("tenantId");

if (jwtUserId != userId || jwtTenantId != tenantId) {
throw new IdorException();
}
}

private static Jwt getJWT() {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

if (!(authentication instanceof JwtAuthenticationToken)) {
throw new AuthenticationException();
}

return (Jwt) authentication.getPrincipal();
}


Подробнее здесь: https://stackoverflow.com/questions/795 ... issued-jwt
Вернуться к началу
Реклама
Ответить Пред. темаСлед. тема

Быстрый ответ

Изменение регистра текста: 
Смайлики
:) :( :oops: :roll: :wink: :muza: :clever: :sorry: :angel: :read: *x)
Ещё смайлики…
   
К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми.

Максимально разрешённый размер вложения: 15 МБ.

  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в «JAVA»