使用Web服務確保兩個系統之間的集成安全

Question

我有兩個應用程序，一個是業務流程管理（BPM），另一個是文檔管理系統（DMS），兩個系統都公開Web服務以實現與其他系統的集成。 這兩個系統都提供主登錄用戶名和密碼，以提供JSON API身份驗證。 例如在BPM內啟動一個流程（“ process1”）； DMS可以發送以下API調用

/jw/web/json/workflow/process/start/process1?master_username=BPMadmin&master_password=982716171717&loginAS=currentusername

同樣適用於調用DMS Web服務。

這種安全性方法的局限性在於，我無法使用JavaScript調用DMS或BPM Web服務中的任何一個，而無法使用javaScript使用返回的JSON，因為如果我遵循javaScript方法，我將在最后暴露master_username和master_password。用戶，他們可以手動將LoginAs參數修改為其他用戶名，並執行未經授權的操作。

所以我的問題是：

1. 我可以使用JavaScript使Web服務調用安全嗎？

2. 第二個問題，我可以遵循哪些其他安全方法來使用javaScript使Web服務調用安全？ 記住我可以將Web服務安全性修改為其他方法，而不是使用主登錄用戶名和密碼，但是這可能需要我更多的時間和精力？

預先感謝您的任何幫助最好的問候

Answer 1

首先，JS是客戶端，不包含任何特殊的安全性/魔術性/不可逆功能，例如瀏覽器輔助的加密引擎，用於生成密鑰的高爐渣SPRNG等。 長話短說，您對js所做的任何操作都不安全，可以對其進行混淆，但它並不安全。 這就是您已經指出的重點。 另一種方法是將服務器用作“代理”。 因此，可以說您正在設計一個JS輔助gui並按原樣顯示一些文檔，然后向您的應用服務器（不是BPM或DMS）發出AJAX請求，它充當代理，將針對DMS進行身份驗證並調用WS，然后將結果返回給您的JS :)因此，您的設置應類似於JS（會話）-> App（ws auth）-> DMS-> App（sesion）-> JS（我假設您已通過身份驗證，我們將使用用戶會話作為JS <->服務器安全通道，如果沒有，您將不得不結合一些其他的js auth機制，也許是一次性的或類似的方法，但這很容易，因為它是您的系統。 和瞧。 僅出於安全考慮，不允許任何人調用您的服務器代理站點：)