從 WebSphere Application Server 到另一台服務器的 REST 調用是否可見？

Question

假設我在 WebSphere Application Server 和某個 Java 類中運行一個應用程序，它通過提供客戶端和客戶端機密來接收 OAuth2 的刷新令牌來進行 REST 調用，然后在某個時候，它也進行了 REST 調用通過提供刷新令牌來調用以接收訪問令牌。

源代碼顯然不可見，無法調試和檢查這些值，但我的問題是，是否可以查看在這些 REST 調用中傳遞的值（即客戶端機密和刷新令牌）和響應（訪問令牌）由有權訪問運行服務器的機器的人？

我問的原因是我正在考慮將這些不變的值（客戶端 ID、客戶端機密、刷新令牌）存儲在某個地方，除了通過 Java 代碼中的 JDBC 連接之外，任何人都無法查看它們，我計划使用這些值用於某個服務器的身份驗證目的。 我不希望使用此應用程序的人能夠查看這些值，因為如果可以，他們可能會通過訪問服務器上的其他公共 API 來造成一些損害。

我打算只讓 Java 代碼（后端）與服務器交互以進行身份​​驗證並獲取一些資源，但我不想讓有權訪問這台機器的人（但無權訪問這些值的存儲位置）查看 REST 請求和響應的詳細信息。

謝謝你。

Answer 1

目前還不清楚您在各個地方指的是哪個服務器。

如果您從WebSphere服務器到服務器的第二個出站HTTPS請求，你必須假定請求和響應的所有細節都以雙方的軟件的操作人員。

任何一方都可以跟蹤自己的所有輸入和輸出。