Database 服务器端预取数据库数据是否存在任何安全风险?
我目前正在编写一个web应用程序,它使用浏览器的隐式授权流来获取一个ID令牌,该令牌附加到后端api的所有后续请求 在我的后端,每当请求传入时,id令牌需要获取和验证其JWKS信息,然后必须将唯一的用户id发送到我们的数据库以查找该用户的帐户,其中将包括他们的角色信息 现在,我正在从数据库中获取用户帐户,只是假设令牌可以被信任,同时验证令牌,然后只有在两者都成功的情况下才能继续。因此,即使令牌已过期,我也会发出额外的db请求,以便在验证令牌后立即准备好数据,但最近的Spectre和Meldown推测性执行攻击让我想知道,在您的服务器知道信任用户之前预取数据是否存在任何安全风险Database 服务器端预取数据库数据是否存在任何安全风险?,database,security,server,authorization,speculative-execution,Database,Security,Server,Authorization,Speculative Execution,我目前正在编写一个web应用程序,它使用浏览器的隐式授权流来获取一个ID令牌,该令牌附加到后端api的所有后续请求 在我的后端,每当请求传入时,id令牌需要获取和验证其JWKS信息,然后必须将唯一的用户id发送到我们的数据库以查找该用户的帐户,其中将包括他们的角色信息 现在,我正在从数据库中获取用户帐户,只是假设令牌可以被信任,同时验证令牌,然后只有在两者都成功的情况下才能继续。因此,即使令牌已过期,我也会发出额外的db请求,以便在验证令牌后立即准备好数据,但最近的Spectre和Meldown
我猜在实际应用中不应该有,但我远不是一个专家,并且一直在努力寻找关于这个的任何文字…据我所知,这个模式应该是完美的。如果api受损,那么数据预取的问题会大得多