我有一個重定向到 Keycloak 登錄頁面的 Angular 應用程式。用戶登錄后,我檢查已完成的請求,其中有一個類似于:
https://localhost:8443/auth/realms/XXX/login-actions/authenticate?session_code=XXX&execution=XXX&client_id=XXX&tab_id=XXX
在這個請求中,我可以在正文中看到用戶發送的用戶名和密碼:
username=my_user
password=my_password
credentialId=""
這沒有加密,我可以在瀏覽器上輕松看到它。當然這是不安全的,所以我想知道。如何防止這種行為?
uj5u.com熱心網友回復:
在您的身體中發送密碼是安全的。
您可以自己在 stackOverflow 上對其進行測驗,它會以清晰的方式向您發送登錄名/密碼并使用 SSL 證書。
您發送一次密碼,然后使用令牌。
如果您想阻止 MIM,SSL 證書是一種解決方案。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/424285.html
