RESTful API секьюрити на базе JSESSIONID + CSRF / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / RESTful API секьюрити на базе JSESSIONID + CSRF

9 сообщений из 9, страница 1 из 1

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223436

alexanoid1

Гость

В Spring Boot приложении реализовываю RESTful API. Засекьюрил их при помощи стандартных JSESSIONID + включил CSRF защиту.

Сессия будет использоваться исключительно как контейнер для аутентификации и все. Для High Availability планирую в дальнейшем использовать Spring Session Redis.

В данный момент мучаюсь вопросом правильно ли я поступил с таким подходом или стоило сразу смотреть в сторону token решений таких например как JWT ?

...

Рейтинг:

0 / 0

24.04.2016, 20:46

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223456

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

alexanoid1В данный момент мучаюсь вопросом правильно ли я поступил
не мучайся.
Хватит или нет для твоего функционала - знаешь только ты.
Начни с простого.
В крайнем случае, токены и ID сессии вполне себе работают вместе.
ЗЫ
Если приложения нет, а уже ждут CSRF атаки - это сильно.

...

Рейтинг:

0 / 0

24.04.2016, 22:51

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223499

alexanoid1

Гость

Petro123alexanoid1В данный момент мучаюсь вопросом правильно ли я поступил
Если приложения нет, а уже ждут CSRF атаки - это сильно.

нужно подождать пока начнутся ?

...

Рейтинг:

0 / 0

25.04.2016, 07:00

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223528

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

alexanoid1,
Ну ты же архитектор?
Есть закон - Защита данных должна не дороже самих данных.
В чем вопрос?
Токены и сессии это параллельно а не альтернативно.

...

Рейтинг:

0 / 0

25.04.2016, 08:35

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223627

alexanoid1

Гость

Petro123alexanoid1,
В чем вопрос?
Токены и сессии это параллельно а не альтернативно.

Суть вопроса в том или такой подход как я описал в начале темы - допустим в реализации RESTful API и не является ли он чужеродным и притянутым здесь за уши ?

Вот именно поэтому я решил создать эту тему и выслушать мнения людей по этому поводу.

...

Рейтинг:

0 / 0

25.04.2016, 10:27

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223668

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

alexanoid1,
я тебе написал IMHO. Ты кучу слов в ответ без конкретики.
- допустим и не является чужеродным.
Ещё пара фраз без кода, и я подумаю что вы - перфекционист.

...

Рейтинг:

0 / 0

25.04.2016, 11:01

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223688

alexanoid1

Гость

Petro123,

перестань флудить, в твоих словах конкретики и понимания предмета нет

...

Рейтинг:

0 / 0

25.04.2016, 11:21

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39223689

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

alexanoid1Petro123,
перестань флудить, в твоих словах конкретики и понимания предмета нет
ты забыл imho поставить

...

Рейтинг:

0 / 0

25.04.2016, 11:23

| Ответить | Цитировать | Написать

RESTful API секьюрити на базе JSESSIONID + CSRF

#39224123

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Если клиенты поддерживают cookies, то настроить на хранение их в БД (sql), а не на диске. Так изи будет и HA и LB. Если приложение реально взлетит (0,1%) и это станет одним из узких мест - редис или все что угодно, у вас будет бюджет > 1млн. долл. и наймете спецов что бы пофиксили.

...

Рейтинг:

0 / 0

25.04.2016, 18:34

| Ответить | Цитировать | Написать

9 сообщений из 9, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / RESTful API секьюрити на базе JSESSIONID + CSRF

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&gotonew=1&tid=2124130]:	0ms
get settings:	8ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	62ms
get topic data:	11ms
get first new msg:	7ms
get forum data:	3ms
get page messages:	63ms
get tp. blocked users:	2ms
others:	200ms

total:	377ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы