如何防止Keycloak在正文中显示密码?
How to prevent Keycloak from displaying the password in body?
我有一个 Angular 应用程序被重定向到 Keycloak 登录页面。用户登录后我查看已经完成的请求,有一个类似于:
https://localhost:8443/auth/realms/XXX/login-actions/authenticate?session_code=XXX&execution=XXX&client_id=XXX&tab_id=XXX
在这个请求中,我可以在正文中看到用户发送的用户名和密码:
username=my_user
password=my_password
credentialId=""
这不是加密的,我可以很容易地在浏览器上看到它。当然这是不安全的,所以我想知道。我怎样才能防止这种行为?
在您的 body 中发送密码是安全的。
您可以自己在 Whosebug 上进行测试,它会以明文形式向您发送 login/password 并使用 SSL 证书。
您发送密码一次,然后使用令牌。
如果您想防止 MIM,SSL 证书是一种解决方案。
我有一个 Angular 应用程序被重定向到 Keycloak 登录页面。用户登录后我查看已经完成的请求,有一个类似于:
https://localhost:8443/auth/realms/XXX/login-actions/authenticate?session_code=XXX&execution=XXX&client_id=XXX&tab_id=XXX
在这个请求中,我可以在正文中看到用户发送的用户名和密码:
username=my_user
password=my_password
credentialId=""
这不是加密的,我可以很容易地在浏览器上看到它。当然这是不安全的,所以我想知道。我怎样才能防止这种行为?
在您的 body 中发送密码是安全的。
您可以自己在 Whosebug 上进行测试,它会以明文形式向您发送 login/password 并使用 SSL 证书。
您发送密码一次,然后使用令牌。
如果您想防止 MIM,SSL 证书是一种解决方案。