So verhindern Sie eine unsichere Direktobjektreferenz (IDOR) mit selbstgegebenem JWT

So verhindern Sie eine unsichere Direktobjektreferenz (IDOR) mit selbstgegebenem JWT ⇐ Java

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Anonymous

So verhindern Sie eine unsichere Direktobjektreferenz (IDOR) mit selbstgegebenem JWT

Post by Anonymous » 03 Apr 2025, 02:39

Ich habe die Frühlingsdokumentation zur Autorisierung von httpServletRequests und jwts . um auf alle Mieter und Benutzer zugreifen zu können. Aus diesem Grund sind die Pfadvariablen notwendig und können nicht durch Extrahieren aus JWT -Ansprüchen ersetzt werden. Crud ihre eigenen Einstellungen. Weder die Einstellungen anderer Benutzer desselben Mieters noch der Einstellungen von Benutzern anderer Mieter.

Code: Select all

@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
Oder auf der Methodenebene: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}

Ich habe darüber nachgedacht, allen meinen Benutzern einen Scope scope_tenant zu geben: {Tenantid} Bei der Ausgabe ihres JWT und der Durchführung von so etwas (ihre Benutzername ist ihre E-Mail-Adresse.

Code: Select all

@PreAuthorize("hasAuthority('TENANT:' + #tenantId) or hasAuthority('ADMIN')")
@GetMapping("{tenantId}/users/{userId}/settings")
public ResponseEntity getTenantResources(@PathVariable long tenantId,
@PathVariable long userId Authentication authentication) {
User user = (User) authentication.getPrincipal();
if (user.getId != userId) {
throw new IdConflicException;
}
// Retrieve and return settings from DB using the userId
}
< /code>
Ich suche jedoch nach einer besseren Lösung, da dies eine Menge Code -Duplikation bedeuten würde und daher fehleranfällig und schwer zu pflegen wäre. Lösung, die keine Annotationen auf Methodenebene beinhaltet.  public static void checkAllowedToAccessTenantAndUser(long tenantId, long userId, Jwt jwt) {
long jwtUserId = jwt.getClaim("userId");
long jwtTenantId = jwt.getClaim("tenantId");

if (scope.contains(Authorities.CLIENT.getAuthority())) {
return;
}

if (jwtUserId != userId || jwtTenantId != tenantId) {
throw new IdorException();
}
}

1743640759

Anonymous

Ich habe die Frühlingsdokumentation zur Autorisierung von httpServletRequests  und jwts . um auf alle Mieter und Benutzer zugreifen zu können. Aus diesem Grund sind die Pfadvariablen notwendig und können nicht durch Extrahieren aus JWT -Ansprüchen ersetzt werden. Crud ihre eigenen Einstellungen. Weder die Einstellungen anderer Benutzer desselben Mieters noch der Einstellungen von Benutzern anderer Mieter.[code]@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
Oder auf der Methodenebene: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}
[/code]
Ich habe darüber nachgedacht, allen meinen Benutzern einen Scope scope_tenant zu geben: {Tenantid}  Bei der Ausgabe ihres JWT und der Durchführung von so etwas (ihre Benutzername ist ihre E-Mail-Adresse.[code]@PreAuthorize("hasAuthority('TENANT:' + #tenantId) or hasAuthority('ADMIN')")
@GetMapping("{tenantId}/users/{userId}/settings")
public ResponseEntity getTenantResources(@PathVariable long tenantId,
@PathVariable long userId Authentication authentication) {
User user = (User) authentication.getPrincipal();
if (user.getId != userId) {
throw new IdConflicException;
}
// Retrieve and return settings from DB using the userId
}
< /code>
Ich suche jedoch nach einer besseren Lösung, da dies eine Menge Code -Duplikation bedeuten würde und daher fehleranfällig und schwer zu pflegen wäre. Lösung, die keine Annotationen auf Methodenebene beinhaltet.  public static void checkAllowedToAccessTenantAndUser(long tenantId, long userId, Jwt jwt) {
long jwtUserId = jwt.getClaim("userId");
long jwtTenantId = jwt.getClaim("tenantId");

if (scope.contains(Authorities.CLIENT.getAuthority())) {
return;
}

if (jwtUserId != userId || jwtTenantId != tenantId) {
throw new IdorException();
}
}
[/code]

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Quick Reply

Username:

Change Text Case:

Smilies

View more smilies

Similar Topics

Replies

Views

Last post

So verhindern Sie eine unsichere Direktobjektreferenz (IDOR) mit selbstgegebenem JWT

Last post by Anonymous « 02 Apr 2025, 01:29
Posted in Java

by Anonymous » 02 Apr 2025, 01:29 » in Java

Ich habe die Spring -Dokumentation zur Autorisierung von httpServletRequests und jwts . /api/v1/mietants/{meenantID}/user/{userId}/Einstellungen
Ich muss sicherstellen, dass der Benutzer 123 von...

0 Replies

9 Views

Last post by Anonymous
02 Apr 2025, 01:29
Gibt es besser, um JWT -Checking (JWT -Filter) für bestimmte Routen (Login, Register) im Spring Start zu ignorieren

Last post by Guest « 22 Feb 2025, 11:39
Posted in Java

by Guest » 22 Feb 2025, 11:39 » in Java

Kontext
Hallo, ich bin ein Neuling im Spring -Boot und habe ein Wunder, während die Anmeldungs- und Registrierungsfunktion für eine Spring -Boot -API implementiert wird.
Hier ist mein GitHub Repo...

0 Replies

7 Views

Last post by Guest
22 Feb 2025, 11:39
Klasse Firebase \ jwt \ jwt nicht gefunden

Last post by Guest « 23 Feb 2025, 07:27
Posted in Php

by Guest » 23 Feb 2025, 07:27 » in Php

Ich möchte in meinem Code reine Firebase/PHP-JWT-Bibliothek verwenden. Erstens gehe ich zu/var/www/html/ und wie die offizielle Bibliotheksseite vorschlägt, mache ich dies

composer require...

0 Replies

17 Views

Last post by Guest
23 Feb 2025, 07:27
JWT-Token-Ablaufhandhabung, der 500 Fehler in Flask-JWT-erweitert und flaskisch-restvoll verursacht

Last post by Anonymous « 02 Apr 2025, 05:23
Posted in Python

by Anonymous » 02 Apr 2025, 05:23 » in Python

Problem:
Ich baue ein Flask-Backend mit Flask-restful, Flask-jwt-erweitert und postgresql. Beim Testen von JWT -Token -Ablauf über Postmanen führen abgelaufene Token konsistent zu einem 500 internen...

0 Replies

13 Views

Last post by Anonymous
02 Apr 2025, 05:23
Verwendet ungeprüfte oder unsichere Vorgänge – Android Studio

Last post by Guest « 13 Jan 2025, 06:48
Posted in Android

by Guest » 13 Jan 2025, 06:48 » in Android

Ich erstelle gerade mein eigenes Projekt in Android Studio und habe gerade die im Bild unten gezeigte Meldung erhalten, die ich nicht verstehe. Könnt ihr mir sagen, was es ist?

0 Replies

14 Views

Last post by Guest
13 Jan 2025, 06:48

Return to “Java”