Я должен обеспечить свои спокойные веб-сервисы, чтобы, если кто-то получит uri моих успокаивающих веб-сервисов, а затем с помощью этого uri, любой из них не может получить доступ к моим успокаивающим веб-сервисам. Я хочу создать успокаивающие веб-сервисы таким образом, чтобы только мое динамическое веб-приложение, работающее на разных серверах, могло получить доступ к моим спокойным веб-сервисам. Я делаю это, устанавливая заголовок аутентификации, я помещаю имя пользователя пользователя в заголовок аутентификации и в спокойные веб-сервисы. Я проверяю эти значения из базы данных, это похоже на управление сеансом, я путаюсь, является ли это хорошим подходом, потому что мы не должны упоминать сеанс в спокойных веб-сервисах.Отдых с защитой Java
Вторая вещь заключается в том, что я помещаю некоторую закодированную строку в заголовок аутентификации, и мы также проверим это значение в фильтре успокоительных веб-сервисов, для защиты от сторонних пользователей, является ли этот подход хорошим, если нет, вы можете сказать мне хороший подход, Thanks
Спасибо, вы можете сказать мне, что, если мой веб-приложения (скажем, приложение А), работающие на TOMCAT сервере может получить доступ к своим веб-служб RESTful, работающих на GlassFish с сертификатом сервера и клиента SSL. Это защитит мои веб-службы REST от третьих лиц, но можете ли вы сказать мне, что если мое приложение A создано для публичных, но спокойных веб-сервисов, это только для приложения A. В этом состоянии он будет работать. вкратце Приложение A открыто для всех видов использования, но Restful weservices - это доступ только к моему приложению A. –
Если A является Rest-Client и B (Glassfish) является Rest-Server, вы можете защитить только это соединение. Доступ по-прежнему можно получить без ssl, так как только B будет нуждаться в Client-Certificats. – hinneLinks