Я работаю над общедоступным веб-сервисом. Аутентификация выполняется третьей стороной, и мы не контролируем ее. Когда пользователь приходит на мою страницу, я могу вручную запустить процесс аутентификации, отправив запрос на URL-адрес третьей стороны, который, в свою очередь, отправит мне ответ, предлагающий, является ли запрос действительным или нет. Если он действителен, я могу установить некоторые значения в cookie, которые я могу использовать позже для отправки пользовательской информации. Задача состоит в том, чтобы разоблачить одну веб-службу, которая может проверить, не был ли изменен запрос и если пользователь аутентифицирован. Если он аутентифицирован, запрашиваемая информация пользователя принадлежит тому же пользователю, который запрашивает информацию.Безопасный общественный стол для отдыха api
Если я просто использую информацию о файлах cookie, тогда она не защищена, и любой может ее изменить и может иметь доступ к другим пользовательским данным, поэтому я предполагаю, что для шифрования/дешифрования должна быть какая-то аутентификация маркера или обмен ключами, но я могу быть полностью неправильным :)
Если приложение (сервер/URL) имеет право доступа к приложению. Пользователь X должен иметь доступ только к данным пользователя X, а не к данным пользователя Y.
Я использую веб-службы Spring для веб-сервиса. Большинство примеров, с которыми я столкнулся, используют форму входа в систему, когда пользователь заполняет свой идентификатор пользователя/pwd, что в моем случае невозможно.
Я застрял в этот момент времени. Любые указатели оцениваются. Любые ссылки ссылки также приветствуются.
Вы используете CAS для аутентификации? Посмотрите на весеннюю безопасность, и если вы используете CAS, весенняя безопасность с CAS – jny