ビジネス プロセス管理 (BPM) とドキュメント管理システム (DMS) の 2 つのアプリケーションがあります。どちらのシステムも Web サービスを公開して、他のシステムとの統合を可能にします。どちらのシステムもマスター ログインのユーザー名とパスワードを提供して、JSON API 認証を提供します。たとえば、BPM 内でプロセス (「process1」) を開始します。DMS は次の API 呼び出しを送信できます
/jw/web/json/workflow/process/start/process1?master_username=BPMadmin&master_password=982716171717&loginAS=currentusername
DMS Web サービスの呼び出しにも同じことが当てはまります。
このセキュリティ アプローチの制限は、JavaScript を使用して DMS または BPM Web サービスのいずれかを呼び出すことができず、返された JSON を javaScript を使用して消費できないことです。ユーザーであり、LoginAs パラメーターを他のユーザー名に手動で変更し、許可されていないアクションを実行できます。
だから私の質問は:-
JavaScript を使用して Web サービス呼び出しを安全にすることはできますか?
2 番目の質問は、javaScript を使用して Web サービス呼び出しを安全にするために、他にどのようなセキュリティ アプローチに従うことができるでしょうか? マスターログインのユーザー名とパスワードを使用するのではなく、Web サービスのセキュリティを他のアプローチに変更できることを心に留めておいてください。
よろしくお願いします