|
|
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Всем доброго времени суток! Нужна подсказка по защите Rest соединений. Смотрю в сторону токенов и в голове появляются вопросы. Как я понял суть, клиент передаёт сервису логин и пароль, в ответ получает токен и уже с ним обращается к сервису. Токен - это шифрованные логин+пароль+доп.данные (на пример дата годности), может передаваться в виде строки в хедере сообщения. Поправьте, если я ошибаюсь. Есть ли уже устоявшаяся метода или можно "импровизировать" (гнать отсебятину)? Можно обойтись без Spring? Заранее спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 13:24 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
mytoffnaxКак я понял суть, клиент передаёт сервису логин и пароль, в ответ получает токен и уже с ним обращается к сервису. Ну, грубо, говоря - да. Но механизмы бывают более сложные. mytoffnaxТокен - это шифрованные логин+пароль+доп.данные (на пример дата годности), может передаваться в виде строки в хедере сообщения. Совсем нет. Токен это, обычно, некий уникальный идентификатор сессии и ничего более. Расшифровать его в данные невозможно. Проверка пароля и срока годности происходит уже при авторизации сервисом. На клиенте эти данные не нужны. mytoffnaxЕсть ли уже устоявшаяся метода или можно "импровизировать" (гнать отсебятину)? Есть устоявшиеся. Можно гнать отсебятину. REST это HTTP. Отсюда и стоит отталкиваться: Basic, Digest, NTLM, SPNEGO, etc mytoffnaxМожно обойтись без Spring? Можно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 13:37 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Blazkowicz mytoffnaxТокен - это шифрованные логин+пароль+доп.данные (на пример дата годности), может передаваться в виде строки в хедере сообщения. Совсем нет. Токен это, обычно, некий уникальный идентификатор сессии и ничего более. Расшифровать его в данные невозможно. Проверка пароля и срока годности происходит уже при авторизации сервисом. На клиенте эти данные не нужны. То есть, клиенту всё равно нужно передавать свои логин и пароль при обращении к Rest'ам? Можно не большой пример? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 13:55 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
1. Пользователь обращается к Rest сервису по HTTPS и передаёт свои логин и пароль 2. Сервис создаёт токен и отдаёт его клиенту 3. Клиент обращаясь к сервисам уже по HTTP передает этот токен 4. На основании токена, сервис даёт ответ Верно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 13:59 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Сервер токенов может быть 3-м участником в этой цепочке. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 15:27 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
maytonСервер токенов может быть 3-м участником в этой цепочке. По плану одно приложение с разными сервисами, один из них, выдаёт токен. Схема то в целом норм? Всё же не понимаю, при последующих обращениях к другим сервисам, клиент передаёт только токен? или же логин/пароль тоже необходимы? З.Ы. Можно сделать как угодно, а как по уму? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2015, 21:19 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
mytoffnaxТо есть, клиенту всё равно нужно передавать свои логин и пароль при обращении к Rest'ам? Зачем? Сервер хранит Map'у сессий, в которой по ID (UUID обычно) находится логин, права доступа, срок жизни. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2015, 08:10 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
mytoffnax1. Пользователь обращается к Rest сервису по HTTPS и передаёт свои логин и пароль 2. Сервис создаёт токен и отдаёт его клиенту 3. Клиент обращаясь к сервисам уже по HTTP передает этот токен 4. На основании токена, сервис даёт ответ Верно?. Токен можно безопасно переживать только в https-соединении. Лучше передавать кукой. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2015, 19:41 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
WGA, Чем кукой лучше то? Чтоб из соседнего окошка можно было отправить запрос на смену пароля к учетке, который сам авторизуется? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2015, 14:09 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Всем спасибо за помощь! =) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2015, 19:11 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Господа, у меня примерно такая же фигня - надо разобраться с безопасностью в Rest, и смотрю я в сторону token или sessionid. Может вопрос глуп, но опыта нет так что подскажите: вот сгенерил я токен на сервере и отправил клиенту, а у себя завел мапу одну на всех, где это для каждого клиента храню (и дальнейшие обращения просто проверяю на наличие такого токена в мапе - не бегать же с каждым запросом в базу), НО как блин эту мапу чистить? Клиентов же много (ну пусть у меня не очень много - 30-50 на вскидку может, но все же. Я бы хотел закатать срок действия часов 10 (рабочий день с обедом и запасом), но блин не могу придумать как привязать это к токену (или тупо время добавлять), ну а даже коли брать sessionid то как их из мапы вычищать? Думаю мож каким параллельным потоком периодически пробегаться, но это блин костыль на костыле... Спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2015, 00:58 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Dmitry., Спасибо! Вот он опыт что не пропьешь... Чесс слово сколько не читал про коллекции ни разу VeakHashMap не встречал:) Вроде по первой прикидке похоже что то что надо. Буду копаться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2015, 16:42 |
|
||
|
Вопрос по Rest Security
|
|||
|---|---|---|---|
|
#18+
Сергей АрсеньевWGA, Чем кукой лучше то? Чтоб из соседнего окошка можно было отправить запрос на смену пароля к учетке, который сам авторизуется?Это REST-сервис, какие окошки? А какие варианты есть? 1. query-параметр - плохо, часто логируется на прокси-серверах. 2. Кастомный HTTP-header - в общем-то тоже норм. 3. Но в компонентах доступа зачастую есть поддержка кук - тем и лучше. Да и даже если из соседнего окошка, меняет пароль - чем это так плохо?.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.06.2015, 00:07 |
|
||
|
|
start [/forum/topic.php?fid=59&msg=38974708&tid=2125286]: |
0ms |
get settings: |
6ms |
get forum list: |
9ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
164ms |
get topic data: |
6ms |
get forum data: |
1ms |
get page messages: |
31ms |
get tp. blocked users: |
1ms |
| others: | 244ms |
| total: | 468ms |
| 0 / 0 |
