Cách bảo mật dịch vụ web REST trong Java EE 6

Question

Tôi đã tạo một ứng dụng web bằng cách sử dụng Java EE 6 (sử dụng các triển khai tham chiếu) và tôi muốn hiển thị nó dưới dạng dịch vụ web REST.

Nền là tôi muốn có thể truy xuất dữ liệu từ ứng dụng web đến ứng dụng iOS mà tôi đã tạo. Câu hỏi đặt ra là làm cách nào để tôi bảo mật ứng dụng? Tôi chỉ muốn ứng dụng của tôi sử dụng dịch vụ web. Điều đó có khả thi không và tôi sẽ làm như thế nào? Tôi chỉ cần biết những gì tôi nên tìm kiếm và đọc và không phải là mã thực tế.

Answer 1

Thật không may, webservice của bạn sẽ không bao giờ hoàn toàn an toàn nhưng đây là một vài trong số những điều cơ bản bạn có thể làm:

• Sử dụng SSL
• Bọc tất cả của bạn (ứng dụng) trọng tải outbound trong POST yêu cầu. Điều này sẽ ngăn chặn việc tìm kiếm thông thường để tìm ra cách hoạt động của các dịch vụ web của bạn (để đảo ngược giao thức).
• Bằng cách nào đó xác thực người dùng ứng dụng của bạn. Lý tưởng nhất điều này sẽ liên quan đến OAUTH ví dụ bằng cách sử dụng thông tin đăng nhập của Google, nhưng bạn sẽ có được ý tưởng.

Bây giờ tôi sẽ chỉ ra lý do tại sao này sẽ không hoàn toàn an toàn:

• Nếu ai đó có được một tổ chức của ứng dụng của bạn và đảo ngược kỹ sư nó, tất cả mọi thứ bạn chỉ cần làm ra ngoài cửa sổ. Điều duy nhất sẽ giữ là xác thực người dùng của bạn.
• Nhúng chứng chỉ ứng dụng khách (như những người khác đã chỉ ra) không có gì để giúp bạn trong trường hợp này. Nếu tôi vừa đảo ngược ứng dụng của bạn, tôi cũng có chứng chỉ ứng dụng khách của bạn.

Điều gì có thể bạn làm gì?

• Xác thực tài khoản trên chương trình phụ trợ của bạn và theo dõi chúng để sử dụng bất thường.

Tất nhiên điều này tất cả đi ra ngoài cửa sổ khi ai đó đến, đảo ngược kỹ sư ứng dụng của bạn, xây dựng ứng dụng khác để bắt chước ứng dụng và bạn sẽ không (thường) biết rõ hơn. Đây là tất cả những điểm cần ghi nhớ.

Edit: Ngoài ra, nếu đó là chưa rõ ràng, sử dụng POST (hoặc GET) yêu cầu cho tất cả truy vấn ứng dụng (máy chủ của bạn). Điều này, kết hợp với SSL nên ngăn chặn những kẻ lừa đảo bình thường của bạn.

Edit2: Có vẻ như nếu tôi sai lại: POST là hơn an toàn hơn GET. This câu trả lời là khá hữu ích trong việc chỉ ra rằng. Vì vậy, tôi cho rằng bạn có thể sử dụng GET hoặc POST thay thế cho nhau ở đây.

Answer 2

Phụ thuộc vào mức độ an toàn bạn muốn thực hiện.

• Nếu bạn không thực sự quan tâm, chỉ cần nhúng một từ bí mật vào ứng dụng của bạn và bao gồm tất cả các yêu cầu.
• Nếu bạn quan tâm nhiều hơn một chút, hãy làm như vậy và chỉ tiếp xúc với dịch vụ qua https.
• Nếu bạn muốn bảo mật, hãy cấp chứng chỉ ứng dụng khách cho ứng dụng của bạn và yêu cầu phải có chứng chỉ ứng dụng khách hợp lệ khi dịch vụ được truy cập.

Answer 3

Tạo quy tắc trên máy lưu trữ Dịch vụ web của bạn để chỉ cho phép ứng dụng truy cập thông qua một số cổng. Trong Amazon EC2, điều này được thực hiện khi tạo một quy tắc trong nhóm bảo mật cá thể.

Answer 4

gợi ý của tôi là:

1. sử dụng https thay vì http. có chứng chỉ ssl miễn phí có sẵn, lấy một và cài đặt.
2. sử dụng đường dẫn phức tạp như 4324234AA_fdfsaf/làm điểm cuối gốc.

do bản chất của giao thức http, phần đường dẫn là được mã hóa trong yêu cầu https. do đó nó rất an toàn. có nhiều cách để giải mã yêu cầu thông qua tấn công man-in-the-middle nhưng nó đòi hỏi toàn quyền kiểm soát thiết bị khách bao gồm cài đặt chứng chỉ ssl. nhưng, tôi dành nhiều thời gian hơn cho ứng dụng của mình để làm cho nó thành công.

Answer 5

Chúng tôi đã sử dụng RestEasy như một phần để đảm bảo các dịch vụ web RESTful được tiếp xúc của chúng tôi. Nên có rất nhiều ví dụ trên mạng nhưng đây là một ví dụ có thể giúp bạn bắt đầu.

http://howtodoinjava.com/2013/06/26/jax-rs-resteasy-basic-authentication-and-authorization-tutorial/

Bạn cũng có thể sử dụng OAuth:

http://oltu.apache.org/index.html