活字格使用oauth2.0获取Token发起POST请求只可22345端口,建议放开至各应用项目端口上
本帖最后由 Brian.Zhang 于 2024-7-25 10:39 编辑发现活字格使用 oauth2.0获取Token 是必须先向22345端口 : {Server}:22345/UserService/connect/token发起POST请求,但这活字格22345端口是我们活字格后台操作端口,为安全起见,正常应要有限制地对外进行授权使用;
因这oauth2.0本身带有 客户端标识符及密钥,让我们交 第三方系统进行先认证的,故我建议不应锁定将获取OAuth2.0 的 Token在活字格最重要的内容固定端口(22345端口)上;同时 要接入的第三方系统(例如:工厂ERP系统及文件管理系统等)有许多是无固定外网IP地址的,故也无法使用我云服务器安全的IP白名单进行锁定;
故我建议将获取活字格Token时发起的 UserService/connect/token发起POST请求,可以在我们每个应用项目上发布的端口上使用,这类似登录用户登录验证的都是可以在每个应用项目上发布的端口上进行身份验证,
同时也要加上按系统上设定的安全登录规则,对那些对超过5次密码错误的,也会中断60分钟,防止黑人不断轮询测试密码及进行攻击破坏;
因我们在日志中查到每天都会有几次黑人会对外活字格使用可以匿名登入服务端命令进行轮询,企图登入;
当然,我看到胡总及宁总都写了这方面介绍,以便大家可以方便使用:
胡总2021-2-19
活字格7.0新功能解密:二十八,支持 OAuth 2.0 认证
https://gcdn.grapecity.com.cn/showtopic-87565-1-1.html
(出处: 葡萄城开发者社区)
宁总2022-9-9
用服务端命令开发和调用WebAPI,实现服务器间数据通讯
https://gcdn.grapecity.com.cn/showtopic-153684-1-1.html
(出处: 葡萄城开发者社区)
整理一下您的需求,您确认一下哈:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布端口。
2、对于用户名、密码多次错误的,可以有针对性的进行限制的策略 本帖最后由 sz_xd 于 2024-7-24 18:53 编辑
Brian.Zhang 发表于 2024-7-24 18:18
整理一下您的需求,您确认一下哈:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布 ...
感谢支持!我在你基础上再整理一下:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布端口。
2、对于第三方系统在提交活字格OAuth 获取 token 认证过程中,如果发现其提交的 客户端标识符、客户端密钥、令牌存在有多次错误的,那么系统会自动可以有针对性进行限制的策略;
因我暂时都是用 匿名登录活字格服务端命令方式进行上传资料,这有类似裸奔,感觉不安全!期待活字格团队能尽快将这功能加强,谢谢!
:mj72:
:i0tw2: sz_xd 发表于 2024-7-24 18:47
感谢支持!我在你基础上再整理一下:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目 ...
了解,已采纳 Brian.Zhang 发表于 2024-7-25 10:39
了解,已采纳
感谢支持! 因这功能使用比较普遍及广泛:
1. 能提升活字格对外联可做API安全性能增加,真正发挥oauth2.0作用,实用性好!
2. 且这只是将原22345端口底层接口逻辑增加至各应用项目端口中,需要改动的工作量应不太大;
3. 增加安全性能,弥补现有不足;
故 期望活字格团队 能在最近的活字格V10.1新版中能加以上这些功能,谢谢! sz_xd 发表于 2024-7-25 11:02
感谢支持! 因这功能使用比较普遍及广泛:
1. 能提升活字格对外联可做API安全性能增加,真正发挥oauth2. ...
V10.1已经要封代码了,应该是赶不上了,可以期待一下后续版本 感谢支持!感谢优先安排,这的确等用,谢谢!
我们金牌用户还是会得到支持力度大些,给力!
:jy74a:
:mj72:
sz_xd 发表于 2024-7-25 14:34
感谢支持!感谢优先安排,这的确等用,谢谢!
我们金牌用户还是会得到支持力度大些,给力!
哈哈当然,金牌优先支持:itwn:
页:
[1]