問題タブ [worklight-security]

Worklight ログアウトを機能させることができません。

ログアウトボタン:

それをクリックすると、次のようになります。

しかし、レルムは適切に定義されており、このレルムのログアウト機能はクリック後に呼び出されます。Worklight のソースを調べたところ、問題は次の場所にあることがわかりました。

したがって、エラーは次からスローされます。

userInfo はどこに設定すればよいですか? または、なぜこのエラーがスローされるのですか? サンプルソースに情報が見つかりませんでした。

この質問は私たちのプロジェクトで出てきました:

セキュリティは、Android の App Authenticity を含む MobileSecurity-Test (XSRF など) を使用して HTTPS で機能するようになりました。私たちのアダプターはユーザー/パス認証を必要としないため、他のレルム、認証、またはログイン モジュールは構成されていません。アプリは、WL.Client.connect の直後にアダプター プロシージャを呼び出すことができます。

サーバー・サイド Javascript コード・インジェクション攻撃を防ぐために Worklight はサーバー・サイドで何をしていますか?

このタイプの攻撃の詳細: http://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf

つまり、(困難ではありますが) 誰かが私たちの APK を使用して Worklight Auth/Security メカニズムをだますことができる新しい APK を作成できたと仮定すると、サーバー側の Javascript コード インジェクション攻撃に対して脆弱になりますか?

すべての WL サーバー呼び出しのすべてのパラメーターが評価され、最大限安全な方法でテキストから Javascript オブジェクトに解析され、サーバー上でパラメーター テキストが Javascript コードとして実行される可能性がまったくないかどうかという問題に要約されます。 ?

もしそうなら、WL サーバー Javascript 実装が保護されていて、私たちが気付いていない可能性のある追加のタイプの攻撃はありますか?

次のコードでは、接続が成功したときに onSuccess がコールバックされていません。一連のイベントのコードとログ出力をリストしました。コードの設定が間違っていませんか？initOptions で connectOnStartup が false に設定されています。このコードはシェル プロジェクトにもあり、logcat はシェルを使用して内部プロジェクトから取得されます。

ここのログに見られるように、wlCommonInit が呼び出されてログに記録されていますが、onConnectSuccess のログ ステートメントは決して書き込まれません...

前の質問に続いて、カスタム属性セクションでグループのリストを返すことができますが、std JSON 構造でそれらを返すために何をする必要があるか知りたいです。

Java リストを送り返す場合

その後、クライアントは受け取ります

グループを hashMap に追加すると

クライアントで次の応答を受け取ります

私が本当に得たいのは、このようなものです

(WASLTPALoginModule と Realm を使用して) 実装WASLTPAAuthenticationしましたが、うまく機能します。
私は自分の JAX-RS を呼び出すことができ、彼らは Cookie によって ID を取得しました。

私の問題は、ホームボタンをタップして最近のアプリケーションのメニューを開いてアプリケーションをスワイプして終了した後、もう一度開くとセッションが破棄され、Cookie が失われ、資格情報を挿入して再度ログインする必要があることです。

これを防ぐ方法はありますか？何らかの方法で localStorage に Cookie を保存する必要がありますか?

worklight.properties で次のように指定しました。

worklight.properties 内。

ただし、「com.worklight.server.bundle.api.WorklightConfiguration getStringProperty Using empty value for configuration property 'console.password ' SystemOut.log ファイル」という警告メッセージがあります。

'.enc' を使用して暗号化された文字列を指定するときに、実際にはそのような警告が表示されるとは思っていませんが、'console.username' という警告がないので、私には奇妙に見えます。

この問題を調査するために、さらに次のテストを実施しました。

試行 1) console.username.enc と console.password を指定

結果: Worklight コンソールは、SystemOut.log に警告メッセージなしで正常にログインできます。したがって、console.username.enc は正常に復号化できるため、暗号化/復号化の問題によるものではありません。

試行 2) console.username と console.password.enc を指定する

結果: 同じ警告メッセージ (...構成プロパティ 'console.password' に空の値を使用しています...) が表示されました

試行 3) console.username と console.password を指定する

結果: Worklight コンソールに正常にログインできます。

試行 4) worklight.properties から console.username と console.password を削除する

結果: 2 つの警告メッセージ - 「Using empty value for configuration property 'console.username'.....'console.password') が表示されました。

したがって、問題は、「console.password.enc」(「console.username.enc」ではなく) から値を読み取る際にのみ問題があるように見えますが、これは非常に奇妙に聞こえます。

何か考えはありますか？ありがとう！