Я пишу мобильное приложение Ionic, которое отправляет HTTP-запросы на сервлет Java. URL-адреса запроса HTTP содержат информацию о пользователе и будут использоваться для обновления базы данных. Однако я не хочу, чтобы кто-то, кроме моих пользователей приложений, просто испортил мою базу данных, отправив HTTP-запросы из внешних источников. Пользователь не должен входить в систему, чтобы использовать мое приложение, поэтому я не смог проверить, кто отправляет запросы. Единственное решение, о котором я думал до сих пор, - это отправить ключ вместе с запросом, который затем будет проверен на сервлете. Однако этот жесткий путь далеко не удовлетворительный. Что было бы лучше? Или я неправильно подключаюсь к бэкенду? Я открыт для всех предложений.Ограничение доступа к Java-сервлету
ответ
Если вы обновляете данные без проверки учетных данных пользователя, то любой может его обновить, поскольку это просто вопрос изменения пользовательского агента и обнюхивание секретного ключа в вашей полезной нагрузке, что является столь же секретным, как и сам URL. Вам нужно будет выяснить способ аутентификации соединения, например, отправить через хэш данных, которые вы отправляете с данными, соленый с уникальным ключом, который вы генерируете при установке приложения, и сгенерированный идентификатор пользователя, и отправляется на вы во время установки. Затем вы можете сохранить уникальный ключ в своей БД, и всякий раз, когда вы получаете запрос, вы хэш-данные и сопоставляете хеш, чтобы убедиться, что он был отправлен с мобильного устройства.
По моему опыту, отправка секретности клиента в заголовке вашего сервлета, а затем проверка того, что этот секрет действителен, - это хороший способ продолжить это.
Вы можете сохранить список достоверных секретов (если у вас было несколько клиентов), а затем проверить, что он был включен в заголовок для любого запроса, который был отправлен на ваш сервлет.
Еще одна вещь, о которой следует помнить, заключается в том, что если вы хотите, чтобы общение было безопасным, вы должны обеспечить соблюдение https-запросов (вместо http), иначе клиентские секреты будут отправляться в виде простого текста. Это позволит злоумышленнику увидеть секрет и использовать его в своих собственных запросах.
- 1. Ограничение доступа к функции
- 2. Ограничение доступа к аудио
- 3. Ограничение доступа к пользователям
- 4. ограничение доступа к файлам
- 5. Ограничение доступа к действиям MVC
- 6. Ограничение доступа к FatFractal Доступ
- 7. Drupal: ограничение доступа к комментариям
- 8. Ограничение доступа к API REST
- 9. Ограничение доступа к модулю метода
- 10. Ограничение доступа к REST Webservice
- 11. Безопасное ограничение доступа к FileProvider
- 12. Ограничение доступа к sun.security.pkcs11.SunPKCS11
- 13. Ограничение доступа к порту 6800
- 14. Ограничение доступа к хранилищу Mercurial
- 15. Ограничение доступа к Android libarary
- 16. Ограничение доступа к портам прослушивания
- 17. Ограничение доступа к контроллерам MVC
- 18. Ограничение параллельного доступа к полю
- 19. Ограничение доступа к библиотеке классов
- 20. Ограничение доступа к плагину .net
- 21. Ограничение доступа к локальному PouchDB
- 22. Ограничение доступа к приложению heroku
- 23. ограничение доступа к папке Apache
- 24. ограничение доступа к журналу андроидов?
- 25. Ограничение доступа к методам класса
- 26. Ограничение доступа к страницам php
- 27. Apache ограничение доступа к папке
- 28. Ограничение доступа к странице Wordpress
- 29. Ограничение доступа к серверу сокетов
- 30. ограничение доступа к записям Моделирования
Проблема со статическими секретами когда-то одна из них сломана, вся ваша операция уязвима. Затем, чтобы обеспечить себя, вам придется заставить всех своих пользователей переключать ключи, как правило, путем переустановки приложения, что само по себе является болью. И HTTPS действительно нужен, но у определенных злоумышленников есть способ обойти это. –