Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Цитата

Сообщение Anonymous » 03 апр 2025, 03:16

Я читал пружинную документацию по авторизации httpservletrequests и jwts .
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос. которые должны иметь возможность получить доступ ко всем арендаторам и клиентам. Вот почему переменные пути необходимы и не могут быть заменены путем извлечения их из претензий JWT.
Пример:
У меня есть конечная точка:/api/v1/venants/{tenantid}/user/{userid}/настройки
travant 1 может только разорвать свои собственные настройки. Ни настройки других пользователей одного и того же арендатора, ни настройки пользователей других арендаторов.@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
или, на уровне метода: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}

Я думал о том, чтобы дать всем своим пользователям rafe campope_tenant: {tenantid} при выпуске их jwt и делаю что-то подобное (их имя пользователя-их адрес электронной почты, поэтому я не могу использовать @preauthorize ("#userid == authentication.name"):
public static void checkAllowedToAccessTenantAndUser(long tenantId, long userId) {
Jwt jwt = getJWT();

long jwtUserId = jwt.getClaim("userId");
long jwtTenantId = jwt.getClaim("tenantId");

if (jwtUserId != userId || jwtTenantId != tenantId) {
throw new IdorException();
}
}

private static Jwt getJWT() {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

if (!(authentication instanceof JwtAuthenticationToken)) {
throw new AuthenticationException();
}

return (Jwt) authentication.getPrincipal();
}

Подробнее здесь: https://stackoverflow.com/questions/795 ... issued-jwt

1743639410

Anonymous

 Я читал пружинную документацию по авторизации httpservletrequests  и jwts . 
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос. которые должны иметь возможность получить доступ ко всем арендаторам и клиентам. Вот почему переменные пути необходимы и не могут быть заменены путем извлечения их из претензий JWT. 
 Пример: 
У меня есть конечная точка:/api/v1/venants/{tenantid}/user/{userid}/настройки 
travant 1 может только разорвать свои собственные настройки. Ни настройки других пользователей одного и того же арендатора, ни настройки пользователей других арендаторов.@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
или, на уровне метода: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}

Я думал о том, чтобы дать всем своим пользователям rafe campope_tenant: {tenantid}  при выпуске их jwt и делаю что-то подобное (их имя пользователя-их адрес электронной почты, поэтому я не могу использовать @preauthorize ("#userid == authentication.name"): 
  public static void checkAllowedToAccessTenantAndUser(long tenantId, long userId) {
Jwt jwt = getJWT();

long jwtUserId = jwt.getClaim("userId");
long jwtTenantId = jwt.getClaim("tenantId");

if (jwtUserId != userId || jwtTenantId != tenantId) {
throw new IdorException();
}
}

private static Jwt getJWT() {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

if (!(authentication instanceof JwtAuthenticationToken)) {
throw new AuthenticationException();
}

return (Jwt) authentication.getPrincipal();
}
 

Подробнее здесь: [url]https://stackoverflow.com/questions/79546941/how-to-prevent-insecure-direct-object-reference-idor-using-self-issued-jwt[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Последнее сообщение Anonymous « 31 мар 2025, 20:54
Добавлено в форуме JAVA

Anonymous » 31 мар 2025, 20:54 » в форуме JAVA

Я читал пружинную документацию по авторизации httpservletrequests и JWTS. /api/v1/venants/{tenantId}/user/{userId}/settings
Мне нужно убедиться, что пользователь 123 из арендатора 1 может только разрушить свои собственные настройки. Ни настройки...

0 Ответы

9 Просмотры

Последнее сообщение Anonymous
31 мар 2025, 20:54
Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Последнее сообщение Anonymous « 01 апр 2025, 21:45
Добавлено в форуме JAVA

Anonymous » 01 апр 2025, 21:45 » в форуме JAVA

Я читал пружинную документацию по авторизации httpservletrequests и JWTS. /api/v1/venants/{tenantId}/user/{userId}/settings
Мне нужно убедиться, что пользователь 123 из арендатора 1 может только разрушить свои собственные настройки. Ни настройки...

0 Ответы

14 Просмотры

Последнее сообщение Anonymous
01 апр 2025, 21:45
Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Последнее сообщение Anonymous « 02 апр 2025, 00:08
Добавлено в форуме JAVA

Anonymous » 02 апр 2025, 00:08 » в форуме JAVA

Я читал пружинную документацию по авторизации httpservletrequests и jwts .
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос.
....

0 Ответы

10 Просмотры

Последнее сообщение Anonymous
02 апр 2025, 00:08
Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Последнее сообщение Гость « 02 апр 2025, 02:29
Добавлено в форуме JAVA

Гость » 02 апр 2025, 02:29 » в форуме JAVA

Я читал пружинную документацию по авторизации httpservletrequests и jwts .
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос.
....

0 Ответы

11 Просмотры

Последнее сообщение Гость
02 апр 2025, 02:29
Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT

Последнее сообщение Anonymous « 02 апр 2025, 21:59
Добавлено в форуме JAVA

Anonymous » 02 апр 2025, 21:59 » в форуме JAVA

Я читал пружинную документацию по авторизации httpservletrequests и jwts .
Мое приложение позволяет нескольким арендаторам, поэтому мне нужно проверить каждого пользователя, к которому они принадлежат, а затем разрешить или запретить запрос.
....

0 Ответы

7 Просмотры

Последнее сообщение Anonymous
02 апр 2025, 21:59

Вернуться в «JAVA»