发表新帖
发表新帖

关于BladeX 登录时,Header会带入ClientSerct问题

Blade 未结
关注 举报
1 288
TheBubble
TheBubble 剑童 2025-02-21 09:36

大佬们好,RT

我在整理代码的时候发现,在登录的时候,前端会带入一个Auth信息在Heaeder中,Basic xxxxxxx

其中xxxx是clientid:clientSecret的形式

但是这样就存在一个问题,按我得理解,在JWT中,这样暴露ClientSecret是有安全风险的,在已知ClientSecret的情况下,应该是可以伪造Token的

请问,blade是如何避免这种情况的呢


烦请大佬解惑

1条回答
  • admin - BladeX作者
    2025-02-21 09:41

    没有后端配置的sign-key,token伪造不了。如果你不认可这种说法,可以伪造一个token看看,来攻击下系统。

    作者追问:2025-02-21 09:51

    了解了,我在仔细看下源码,感谢

    1 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 大模型开发平台 BladeX 物联网开发平台
热议问题
生成代码多余注释,如何去除 1
minio的cors漏洞 2
blade-ai的mcp调试功能需要通过llm调用 1
接收content-type为multipart/x-mixed-replace,图片数据为空,文本数据正常 1
修改@PreAuth(menu ="XXX") 1
powerjob部署出错 1
大模型平台知识库中“辅助数据”的使用方式 1
后端启动后接口全局出现这个问题 1
K8s集成文档 1
xxl-job模块:其他模块如何注册 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号