找回密码
 立即注册

QQ登录

只需一步,快速开始

sz_xd
金牌服务用户   /  发表于:2024-7-24 05:54  /   查看:969  /  回复:7
本帖最后由 Brian.Zhang 于 2024-7-25 10:39 编辑

发现活字格使用 oauth2.0  获取Token 是必须先向22345端口 : {Server}:22345/UserService/connect/token发起POST请求,但这活字格22345端口是我们活字格后台操作端口,为安全起见,正常应要有限制地对外进行授权使用;

因这oauth2.0本身带有 客户端标识符及密钥,让我们交 第三方系统进行先认证的,故我建议不应锁定将获取OAuth2.0 的 Token在活字格最重要的内容固定端口(22345端口)上;同时 要接入的第三方系统(例如:工厂ERP系统及文件管理系统等)有许多是无固定外网IP地址的,故也无法使用我云服务器安全的IP白名单进行锁定;

故我建议将获取活字格Token时发起的 UserService/connect/token发起POST请求,可以在我们每个应用项目上发布的端口上使用,这类似登录用户登录验证的都是可以在每个应用项目上发布的端口上进行身份验证,
同时也要加上按系统上设定的安全登录规则,对那些对超过5次密码错误的,也会中断60分钟,防止黑人不断轮询测试密码及进行攻击破坏;
因我们在日志中查到每天都会有几次黑人会对外活字格使用可以匿名登入服务端命令进行轮询,企图登入;

   




当然,我看到胡总及宁总都写了这方面介绍,以便大家可以方便使用:

胡总2021-2-19

活字格7.0新功能解密:二十八,支持 OAuth 2.0 认证
https://gcdn.grapecity.com.cn/showtopic-87565-1-1.html
(出处: 葡萄城开发者社区)


宁总2022-9-9
用服务端命令开发和调用WebAPI,实现服务器间数据通讯
https://gcdn.grapecity.com.cn/showtopic-153684-1-1.html
(出处: 葡萄城开发者社区)










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

7 个回复

倒序浏览
Brian.Zhang
超级版主   /  发表于:2024-7-24 18:18:58
沙发
整理一下您的需求,您确认一下哈:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布端口。
2、对于用户名、密码多次错误的,可以有针对性的进行限制的策略
回复 使用道具 举报
sz_xd
金牌服务用户   /  发表于:2024-7-24 18:47:10
板凳
本帖最后由 sz_xd 于 2024-7-24 18:53 编辑
Brian.Zhang 发表于 2024-7-24 18:18
整理一下您的需求,您确认一下哈:
1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布 ...

感谢支持!我在你基础上再整理一下:

1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目的发布端口。
2、对于第三方系统在提交活字格OAuth 获取 token 认证过程中,如果发现其提交的 客户端标识符、客户端密钥、令牌存在有多次错误的,那么系统会自动可以有针对性进行限制的策略;

因我暂时都是用 匿名登录活字格服务端命令方式进行上传资料,这有类似裸奔,感觉不安全!期待活字格团队能尽快将这功能加强,谢谢!



回复 使用道具 举报
Brian.Zhang
超级版主   /  发表于:2024-7-25 10:39:01
地板
sz_xd 发表于 2024-7-24 18:47
感谢支持!我在你基础上再整理一下:

1、将OAuth 2.0的token获取端点从固定的22345端口移至各应用项目 ...

了解,已采纳
回复 使用道具 举报
sz_xd
金牌服务用户   /  发表于:2024-7-25 11:02:08
5#

感谢支持! 因这功能使用比较普遍及广泛:
1. 能提升活字格对外联可做API安全性能增加,真正发挥oauth2.0作用,实用性好!
2. 且这只是将原22345端口底层接口逻辑增加至各应用项目端口中,需要改动的工作量应不太大;
3. 增加安全性能,弥补现有不足;

故 期望活字格团队 能在最近的活字格V10.1新版中能加以上这些功能,谢谢!
回复 使用道具 举报
Brian.Zhang
超级版主   /  发表于:2024-7-25 13:41:00
6#
sz_xd 发表于 2024-7-25 11:02
感谢支持! 因这功能使用比较普遍及广泛:
1. 能提升活字格对外联可做API安全性能增加,真正发挥oauth2. ...

V10.1已经要封代码了,应该是赶不上了,可以期待一下后续版本

评分

参与人数 1满意度 +5 收起 理由
sz_xd + 5

查看全部评分

回复 使用道具 举报
sz_xd
金牌服务用户   /  发表于:2024-7-25 14:34:50
7#
感谢支持!感谢优先安排,这的确等用,谢谢!

我们金牌用户还是会得到支持力度大些,给力!





回复 使用道具 举报
Brian.Zhang
超级版主   /  发表于:2024-7-25 18:34:55
8#
sz_xd 发表于 2024-7-25 14:34
感谢支持!感谢优先安排,这的确等用,谢谢!

我们金牌用户还是会得到支持力度大些,给力!

哈哈当然,金牌优先支持
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部