как реализовать аунтефикацию для rest клиента. / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / как реализовать аунтефикацию для rest клиента.

25 сообщений из 47, страница 1 из 2

все

как реализовать аунтефикацию для rest клиента.

#38470343

redwhite90

Гость

Не понимаю как осуществить аунтефикацию, если rest не имеет состояния.

...

Рейтинг:

0 / 0

19.11.2013, 18:34:25

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38470353

Blazkowicz

Участник

Сообщения: 25 080

Рейтинг: 0 / 0

В что-то не верное трактуете и при этом возводите в абсолют.
На сколько я понимаю подразумевается что RESTful не должен ничего хранить о клиенте.
Приэтом ничего не мешает хранить состояние на самом клиенте.
Соответсвенно аутентификация это лишь передача токена клиенту. Сервер не хранит токен у себя, а каждый раз получается его от клиента и валидирует.

...

Рейтинг:

0 / 0

19.11.2013, 18:41:50

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38470379

redwhite90

Гость

Blazkowicz,

то есть у клиента есть некоторый идентификатор(секретный), который он передает серверу, который надо передавать при каждом http запросе?

...

Рейтинг:

0 / 0

19.11.2013, 19:10:01

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38470384

redwhite90

Гость

как этот токен генерировать?

...

Рейтинг:

0 / 0

19.11.2013, 19:12:28

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38470394

Blazkowicz

Участник

Сообщения: 25 080

Рейтинг: 0 / 0

redwhite90как этот токен генерировать?
Использовать общераcпространенные механизмы аутентификации.
https://www.google.com/search?q=HTTP Authentication

...

Рейтинг:

0 / 0

19.11.2013, 19:20:37

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38470687

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

redwhite90как этот токен генерировать?

Вы можете не парится с токеном а каждый раз передавать пару логин:пароль как к примеру здесь показано
http://stackoverflow.com/questions/3283234/http-basic-authentication-in-java-using-httpclient

...

Рейтинг:

0 / 0

20.11.2013, 02:17:32

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38471158

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

redwhite90как этот токен генерировать?
начни с простого - логин и пароль в куки в текстовом виде. А потом усложняй и шифруй.

...

Рейтинг:

0 / 0

20.11.2013, 13:18:46

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38471233

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

redwhite90Не понимаю как осуществить аунтефикацию, если rest не имеет состояния.

Странно - я думал что если мы строим приложение как набор rest сервисов - то какое дела нам до аунтефикации?!

Или у вас в приложении есть Роли? пользователи , авторизация итд?

Фактически Вы используете REST как набор красивых url ?

что лежит в основе Вашего приложения : Spring ? какой контейнер используете ?

Для Спринга : например

http://www.spring-source.ru/docs_intermedia.php?type=manual&theme=docs_intermedia&docs_intermedia=chap01_p01

Так же для EE - можно настроить сервлет фильты под каждый набор url'ов.

https://sites.google.com/site/jeecourses/task_administration

Лучше пользоться готовыми решениями.

...

Рейтинг:

0 / 0

20.11.2013, 14:10:09

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472481

redwhite90

Гость

я пока ещё ничего не использую, просто примериваюсь.

Идея передавать каждый раз логин и пароль понятна. В принципе наверное 2 небольших строки каждый раз передавать не особенно накладно, но морально как-то не очень.

А вот с токеном как-то не ясна сама суть.

...

Рейтинг:

0 / 0

21.11.2013, 10:41:03

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472496

redwhite90

Гость

и добавлю:

Есть некоторая система, она предоставляет функции. Естественно эта система под аунтефикацией. Часть этих функций предоставляется через веб сервисы, эти сервисы не должны быть доступны кому попало.

...

Рейтинг:

0 / 0

21.11.2013, 10:44:21

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472743

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

redwhite90и добавлю:

Есть некоторая система, она предоставляет функции. Естественно эта система под аунтефикацией. Часть этих функций предоставляется через веб сервисы, эти сервисы не должны быть доступны кому попало.

Тогда у вас обычное веб приложение с аунтефикацией.

Что вы выбрали spring ? или EE ?

вот самый простой пример Для EE https://netbeans.org/kb/docs/web/security-webapps.html

...

Рейтинг:

0 / 0

21.11.2013, 12:36:51

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472747

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

Дальше вы можете развить свою безопасность :

1) поставить все под ssl - https
2) SSL клиентские сертификаты

...

Рейтинг:

0 / 0

21.11.2013, 12:38:22

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472800

redwhite90

Гость

Atum1,
вообще spring, но я бы не хотел к этому привязываться.

в чем суть не понимаю.

...

Рейтинг:

0 / 0

21.11.2013, 13:08:17

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472869

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

redwhite90Atum1,
вообще spring, но я бы не хотел к этому привязываться.

в чем суть не понимаю.

Суть в том что передавать в куках и по сети данные для доступа к ресурсам - это небезопасно!

Тогда смотрите в сторону spring security - там много чего интересного :)

http://www.mkyong.com/tutorials/spring-security-tutorials/

Самое простое - http://ru.wikibooks.org/wiki/Технический_обзор_Spring_Security

Сколько пользователей в системе?

Вы рассматривали возможность создания сессии пользователя ?

...

Рейтинг:

0 / 0

21.11.2013, 13:46:01

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38472871

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

Atum1,

Для Rest + Spring

http://www.baeldung.com/2011/10/31/securing-a-restful-web-service-with-spring-security-3-1-part-3/

...

Рейтинг:

0 / 0

21.11.2013, 13:47:23

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473013

redwhite90

Гость

Atum1,

не не не....

мне непонятна сама идея этого токена. ну вот сервер же как-то его создать должен, потом он должен его передать клиенту.

...

Рейтинг:

0 / 0

21.11.2013, 15:05:15

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473774

Atum1

Участник

Откуда: СПБ

Сообщения: 1 847

Рейтинг: 0 / 0

redwhite90Atum1,

не не не....

мне непонятна сама идея этого токена. ну вот сервер же как-то его создать должен, потом он должен его передать клиенту.

Минуты так с 15 смотрите :

YouTube Video

...

Рейтинг:

0 / 0

22.11.2013, 09:29:01

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473835

Сергей Арсеньев

Участник

Сообщения: 4 121

Рейтинг: 0 / 0

redwhite90мне непонятна сама идея этого токена. ну вот сервер же как-то его создать должен, потом он должен его передать клиенту.
Например по https.
Если гонять его назад считаете не коммильфо.
Считайте передайте ключ от RSA и в качестве токена передавайте зашифорванное им текущее время с солью.
Одно и тоже время от одного клиента два раза не принимать (но это уже не rest - sic)

...

Рейтинг:

0 / 0

22.11.2013, 10:22:53

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473934

redwhite90

Гость

Сергей Арсеньев,

а ключ как передать?

...

Рейтинг:

0 / 0

22.11.2013, 11:24:03

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473971

Сергей Арсеньев

Участник

Сообщения: 4 121

Рейтинг: 0 / 0

redwhite90,
Сергей АрсеньевНапример по https
Решение не идеальное.

...

Рейтинг:

0 / 0

22.11.2013, 11:36:40

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473974

redwhite90

Гость

redwhite90,

ну и даже если передать, то что?

сервер шифрует текущее время каким-то ключом, получает code.
code получает клиент. и что дальше? может он узнать время и что это нам даст?

...

Рейтинг:

0 / 0

22.11.2013, 11:37:55

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38473990

Сергей Арсеньев

Участник

Сообщения: 4 121

Рейтинг: 0 / 0

redwhite90,

По защищенному каналу. Клиент придумывает соль передает ее серверу в ответ получает публичный ключ.

Далее при каждом запросе к серверу передает зашифрованную ключем соль и время.

Естественно сервер при этом должен помнить ключ для расшифровки соль и использованные времена - т.е. не rest. Да и если все равно нужен https - то можно и дальше через него работать.

...

Рейтинг:

0 / 0

22.11.2013, 11:45:45

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38474010

redwhite90

Гость

Сергей Арсеньевredwhite90,
Сергей АрсеньевНапример по https
Решение не идеальное.

окей, если у клиента есть права пользоваться веб-сервисом, то у него есть rsa ключ.

я сейчас вижу 2 варианта
1. пускай клиент передаёт этот ключ на сервер при каждом вызове сервиса и сервер проверяя этот ключ решает выполнить запрос или нет.
2. не передавать ключ на сервер.
a)запрос, который не меняет состояние на сервере. Что нить типа getPlayer()
сервер возвращает зашифрованные ключом данные и клиент, если у него есть ключ сможет расшифровать всё.

b)запрос, который может поменять состояние на сервере. Что нить типа deletePlayer()
вот тут мне непонятно как быть.

...

Рейтинг:

0 / 0

22.11.2013, 11:54:11

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38474014

redwhite90

Гость

Сергей Арсеньев,

Допустим канал связи защищён и никто взломать не может.

а что такое соль?

...

Рейтинг:

0 / 0

22.11.2013, 11:56:52

| Ответить | Цитировать | Написать

как реализовать аунтефикацию для rest клиента.

#38474040

Сергей Арсеньев

Участник

Сообщения: 4 121

Рейтинг: 0 / 0

redwhite90,

Случайный набор данных добавляемый к зашифрованному сообщению.

...

Рейтинг:

0 / 0

22.11.2013, 12:06:51

| Ответить | Цитировать | Написать

25 сообщений из 47, страница 1 из 2

все

Форумы / Java [игнор отключен] [закрыт для гостей] / как реализовать аунтефикацию для rest клиента.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=38474014&tid=2128091]:	0ms
get settings:	8ms
get forum list:	19ms
check forum access:	4ms
check topic access:	4ms
track hit:	195ms
get topic data:	11ms
get forum data:	2ms
get page messages:	66ms
get tp. blocked users:	1ms
others:	213ms

total:	523ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы