繁体 English 中英

Java中的Web服务安全性

[英]Security with Web Services in Java

原文 2011-02-28 17:55:28 7 3 java/ web-services/ security/ java-ee

我们有一个客户端调用我们的Web服务。 我们如何确保只有我们的客户端应用程序调用Web服务而不是其他人创建的调用我们的Web服务的客户端。

我们希望避免将密码硬编码到应用程序中。

3 个解决方案

快速回答您的问题就是研究OAuth。 正确实现OAuth是一个过程，所以我会阅读协议文档。 以下是OAuth 客户端库示例的链接。 我还会搜索StackOverflow以获取有关OAuth实现的建议。

在这种情况下，您可以使用双腿OAuth 。 这是标准OAuth的变体，由SimpleGeo等公司使用。 然后使用https确保通信安全，您就拥有了强大的解决方案。

如果您不关心未在浏览器中运行的客户端，那么您可以使用XSRF令牌，每个会话的密钥与后端中的某个会话密钥相关联，或者通过两个单独的路径进行往返，例如通过隐藏的表单输入和安全通道上的cookie。 如果您无法保护频道，则必须使令牌一次性使用。 请参见http://www.cgisecurity.com/csrf-faq.html#protectapp

你不能在一般情况下。 一个相当聪明的黑客可能会对你使用的任何协议进行逆向工程，并提取你在源代码中嵌入的任何秘密。