繁体 English 中英

泽西岛Web服务安全问题

[英]Jersey Web Services Security Question

原文 2011-06-15 22:23:41 7 1 java/ security/ jersey

我正在构建一个面向公众的REST应用程序，供客户访问。 在尝试为其开发安全性时，我研究了AWS如何使用访问密钥和密钥在发送到AWS服务器之前对其进行签名处理其REST身份验证。 所以我编写了一个用Jersey，JSP和javascript（jsonp）来测试的例子，它似乎工作正常。

1.）在页面加载时，JSP获取客户端的访问密钥和日期/时间（转换为EPOCH）并写入页面。 它还需要这两条信息，并通过HMAC-SHA1将它们与客户端的唯一密钥组合在一起。

2.）当我执行JQuery ajax请求时，我传递了所有三条信息。

用户访问密钥
日期/时间（EPOCH）
签名的消息

3.）在Jersey端，我获取访问密钥和日期/时间，并检查数据库中的用户密钥。 然后，我执行自己的HMAC-SHA1签名，并将其与用户提交的签名消息中的签名消息进行比较。 如果匹配，则允许他们使用我们的Web服务。 我还检查日期/时间，只接受过去15分钟内签名的邮件。

我的问题是，这足够安全吗？

1 个解决方案

这不是一个完整的答案，但我还没有意见，只是评论。 我会在服务器端为您的安全添加一个盐。 有关使用主密钥和盐进行散列的详细讨论，请参阅此文章。

泽西岛网络服务

[英]Jersey web services

用于RESTful Web服务的Java Jersey

[英]Java Jersey for RESTful web services

异步Web服务Jersey中的newFixedThreadPool

[英]newFixedThreadPool in asynchronous web services Jersey

构建Jersey Web服务可执行文件

[英]Building Jersey web services executable

Java中的Web服务安全性

[英]Security with Web Services in Java

Web服务中的安全性和身份验证

[英]Security and authentication in web services

Tomcat 7和Jersey RESTful Web服务上的多个请求

[英]Multi requests on Tomcat 7 and Jersey RESTful web services

使用Jersey的Java中的REST Web服务

[英]REST web-services in Java using Jersey

允许跨域请求泽西Web服务

[英]Allow cross domain request to jersey web services

使用Jersey REStful Web服务返回响应？

[英]Returning response using Jersey REStful web services?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 泽西岛网络服务用于RESTful Web服务的Java Jersey 异步Web服务Jersey中的newFixedThreadPool 构建Jersey Web服务可执行文件 Java中的Web服务安全性 Web服务中的安全性和身份验证 Tomcat 7和Jersey RESTful Web服务上的多个请求使用Jersey的Java中的REST Web服务允许跨域请求泽西Web服务使用Jersey REStful Web服务返回响应？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM