我们希望在后端实现djangoauth,以便集成Alexa和其他第三方api。我们一直在关注他们网站(http://django-oauth-toolkit.readthedocs.io/en/latest/tutorial/tutorial.html)上的教程,但是遇到了一个迄今为止我们还没有解决的安全问题:
是否存在任何用户都可以访问https://<oursite.com>/o/applications
的安全问题?如果是这样,需要采取哪些步骤来阻止用户访问这些视图?在
关于SO的唯一相关问题并不是特别有用:
Secure creation of new applications in Django OAuth Toolkit
Disable or restrict /o/applications (django rest framework, oauth2)
这是一个安全问题,我建议将访问权限限制为只有具有活动帐户的超级用户,如下面的代码网址.py公司名称:
要排除'applications/'端点,只导入所需的URL,而不是使用整个
oauth2_provider.urls
:将只添加客户端应用程序授权所需的URL:
^{pr2}$要添加/删除应用程序,您可以使用Django管理站点,或者允许
management_urlpatterns
管理用户,如@David Chander answer:https://stackoverflow.com/a/49210935/7709003我也在做类似的事情,我相信任何人都可以看到/o/应用程序,这是一个安全问题——据我所知,这个页面应该是一个开发工具,而不是一个生产页面。事实上,在the django-oauth-toolkit documentation中,它们有一个代码示例,对视图的访问更受限制。在
revoke token view is part of the RFC,因此需要一个。我在我的应用程序中采用了类似的方法,只包括AuthorizationView、TokenView和RevokeTokeView。在
希望有帮助!在
相关问题 更多 >
编程相关推荐