[英]Security with Web Services in Java
我们有一个客户端调用我们的Web服务。 我们如何确保只有我们的客户端应用程序调用Web服务而不是其他人创建的调用我们的Web服务的客户端。
我们希望避免将密码硬编码到应用程序中。
如果您不关心未在浏览器中运行的客户端,那么您可以使用XSRF令牌,每个会话的密钥与后端中的某个会话密钥相关联,或者通过两个单独的路径进行往返,例如通过隐藏的表单输入和安全通道上的cookie。 如果您无法保护频道,则必须使令牌一次性使用。 请参见http://www.cgisecurity.com/csrf-faq.html#protectapp
你不能在一般情况下。 一个相当聪明的黑客可能会对你使用的任何协议进行逆向工程,并提取你在源代码中嵌入的任何秘密。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.