#oauth-2.0 #keycloak #exposure
#oauth-2.0 #скрытая информация #раскрытие
Вопрос:
В настоящее время, даже с пользовательской темой, Keycloak раскрывает себя, например. при вызове неполного URL-адреса (страница ошибки) или при использовании целевых URL-адресов.
Какова наилучшая практика, чтобы избежать этого? В идеале решение OAuth2 не должно быть видно пользователям. Это лучше всего реализовано на уровне инфраструктуры, на уровне темы Keycloak или где-то еще?
Комментарии:
1. Вы также установили тему в основной области?
2. Хороший намек, это было бы решением, однако я больше хотел избежать раскрытия вообще. Теперь мы закончили тем, что сделали это на уровне балансировки нагрузки с перенаправлением всех ответов не 2xx и 3xx, но я не уверен, что это «лучшая практика». Было бы хорошо иметь флаг «без раскрытия» (возможно, на уровне темы), что привело бы к просто возврату 404 без содержимого (то же самое для 5xx и т. Д.).
3. Хорошо, теперь я понял вашу точку зрения, к сожалению, я не знаю, какова наилучшая практика в этом отношении.