問題タブ [rest-security]

REST エンドポイントにセキュリティを提供しようとしています。このページの指示に従っています。私の場合、ビューがないため、ビューを指定するコントローラーを作成しておらず、AppConfig.java に viewResolver を追加していません。

実装後、保護された REST エンドポイントを呼び出すと、アクセス拒否エラーが正しく表示されます。しかし、リクエストヘッダーでユーザー名/パスワードを指定しても、アクセス拒否エラーが発生します。基本認証でユーザー名/パスワードを設定する郵便配達員でテストしています。何が足りないのですか？

認証されたユーザーに安らかなクライアントを使用してセキュリティを実装する方法を理解しようとしています。私が問題を抱えているシナリオは、安らかなクライアントが購入 ID を返すため、ユーザーが自分のものではない購入を更新するのを止める方法です。製品 ID は、熟練したユーザーであれば簡単に改ざんできます。httpsを使用することでそれを防止または軽減できるため、私は途中で巻き込まれることにあまり興味がありません. 自分のものではないものを更新しようとしているユーザーに本当に興味があります。

残りの世界でそのような攻撃をどのように防ぎますか? Web パラメータの改ざん

JSON 応答を送信する REST API に接続しようとしています。ブラウザに URL をコピーして貼り付けると、ブラウザにユーザー名とパスワードを入力するためのポップアップが表示されます。

ユーザー名とパスワード (Active Directory ID とパスワード) を入力すると、サービスは JSON 応答を送信します。 HTTP リクエストとレスポンス

しかし、コードから接続しようとすると、次のエラーが返されます

{StatusCode: 401、ReasonPhrase: 'Unauthorized'、バージョン: 1.1、コンテンツ: System.Net.Http.StreamContent、Headers: { Keep-Alive: timeout=15、max=100 Connection: Keep-Alive Date: Wed, 20 Apr 2016 11:38:45 GMT サーバー: Apache WWW-Authenticate: Basic realm="Login using your AD-ENT credentials, but do not do your ID with the domain"
Content-Length: 455 Content-Type: text/html; charset=iso-8859-1 }}

Web サイトで作業していますが、認証についてよくわかりません。

私は外部 API を備えた Web サイトを持っています。私の Web サイトは API に情報を要求して、ユーザー、記事などのデータを取得できます。

さらに、ユーザーは私のウェブサイトでアカウントを作成し、API アクセスも要求できます (もちろん、プロファイルにはいくつかの制限があります)。したがって、私の考えは、ユーザーアカウントにキー/トークンを提供して、API からデータを送信/取得できるようにすることです。(例: Bugsnag、Google アナリティクスなどのサービス)

• 「O-Auth 2」の仕事ですか？私のウェブサイトは、彼がより多くのデータを取得できるようにするキーを持つクライアントのようなものです（基本的にはより良いスコープ）
• ユーザーが自分の API トークンを使用して Javascript スクリプトを追加した場合、別のユーザーが自分のキー/トークンを DOM から盗むのを防いでいるのは何ですか?

ありがとう！

私は OpenAM を初めて使用し、OpenAM を使用して Web サービスを保護しようとしています。以下のリンクの情報を使用して、J2EE ポリシー エージェントをインストールしました。

https://wikis.forgerock.org/confluence/display/openam/Installing+Tomcat+6.0+Policy+Agent

REST API にセキュリティを提供する必要があります。では、OpenAM コンソールのどこで REST API を設定する必要があるのでしょうか。

情報を入手できるリンクをいくつか教えてください。

REST API を提供する Spring Boot Web アプリケーションを開発しています。ほとんどのページ (thymeleaf テンプレート) は、この API を使用してバックエンドと通信します (AJAX 要求を使用)。基本認証、OAuth2 などのさまざまなアプローチについて読みました。これらのアプローチは、ユーザー認証を説明した後、ユーザーが API にアクセスできるようになります。しかし、ユーザーがブラウザーまたは REST クライアントを使用して API と直接通信することは望ましくありません(つまり、アクセス トークンが通常保存されるブラウザーの Cookie にアクセスできる postman chrome 拡張機能)。

私はこのようなものを持っています:
(1) ユーザー --> (2) MyOwnPages --> (3) RestAPI。

直接通信を防ぐ方法はありますか 1-3 ?
リクエストが自分のページから行われたことをどうにかして判断できますか (つまり、各リクエストに何らかのアクセス トークンを追加します)? ベストプラクティスはありますか?

ありがとう！

私はアンドロイドアプリを持っています。バックエンドサーバーがあります。

リクエストがアプリ経由で行われたことを確認する最善の方法は何ですか?

現在、Google認証トークンを使用してユーザーを確認しています。他に良い方法はありますか?? バックエンドは PHP であり、VPS でホストされています (BaaS サービスを使用していません)。

REST API の現在の実装では、すべてのタイプのリクエスト (PUT、POST、GET) に対して queryString 内で apiKey を使用します。私はそれが間違っていると感じていますが、その理由を説明することはできません (おそらく apiKey はサーバーとクライアントの間のどこかにキャッシュされる可能性があります)。何かのようなもの：

POST /objects?apiKey=supersecret {name: 'some'}

それで、それはセキュリティ上の問題ですか？HTTP 接続と HTTPS 接続の両方のケースについて説明してください

既存のアプリケーションに REST レイヤーを実装しています。ユーザー ID とパスワードをデータベースに保存しており、REST サービスを呼び出すときにこれらの資格情報を認証したいと考えています。これはスタンドアロン アプリケーションであることに注意してください。

調査の結果、2つの方法がわかりました。

• HTTPS を使用した基本的な実装 - このアプローチでは、渡されたユーザー ID とパスワードが中間者攻撃によって改ざんされないようにします。
• 認証トークン (JWT) の使用 - ユーザーは最初にユーザー ID とパスワードを渡し、サーバーは認証トークンを返します。ユーザーが認証トークンを取得したら、それを後続の要求に使用できます。
• OAuth 2.0 の使用 - このアプローチには非常に混乱しています。ドキュメントと仕様を読んだ後、私のアプリケーションはスタンドアロンであるため、認可サーバー、リソース サーバーなどを実装する必要があることがわかりました。

ここで OAuth を実装するように求められましたが、このシナリオで OAuth が必要であるとは確信していません。私はJWT（トークン）を実装するだけに傾倒しています

このシナリオで OAuth は本当に義務付けられていますか。OAuth について私が理解しているのは、Facebook/Google などのサービスが既にある場合に使用されるということです。

私の考えが正しいかどうか、この場合OAuth 2.0が必要かどうかを誰かが確認できますか?