一、该问题的重现步骤是什么?
1. 由于软件在安全评测中出现了敏感词,username,password等字段,需要将这些字段做个修改。
2. 由于bladeX 的oauth/token是在spring中封装,没有找到关于用户名密码的获取与校验的代码。
二、你期待的结果是什么?实际看到的又是什么?
我想把oauth/token的传参映射做一下处理,password改为mm,用户名改为yhm。
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
我是用的是bladex-3.0.1.release
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
逻辑在如下代码,内部做一个接口转发应该就能解决了。
但是这是oauth2的标准协议,理论上是不需要进行整改的,你们安全评估的公司资质如何?是只会用工具机械扫描,还是说确实是有真材实料的?
安全评估的公司资质不详,应该只是工具机械扫描,接口转发是可行的。
如果转发接口是不是用resttemplate转发到localhost的这个接口里面就行了?
安全评估的公司资质不详,应该只是工具机械扫描,接口转发是可行的。
如果转发接口是不是用resttemplate转发到localhost的这个接口里面就行了?
是的,对外暴露你们的一个新接口,在新接口那把参数重新组装,内部去调用/oauth/token的原版接口就行,用HttpUtil、Reuqest、RestTemplate等http工具类都可以。
对外的话,可以用nginx把/oauth/token阻断,只让内网访问,这样转发就没问题了,外部也无法扫描到。
扫一扫访问 Blade技术社区 移动端