問題タブ [worklight-server]

実稼働環境で Worklight Server に複数のアダプターをデプロイしようとしています。コンソールを更新すると、デプロイされたアダプターが表示されません。

何が問題ですか？

Worklight 6.0.0.1 を使用しています。私のアプリケーションは wlInitOptions、connectOnStartup を使用し、サーバーに更新があるかどうかを確認します。

ダイレクト アップデート機能の動作がおかしいです。アプリケーションが適切に更新されることもあれば、アプリケーションのダウンロードとアンパッケージが何度も繰り返されることもあります。Worklight Studio のバージョンが Worklight Server のバージョンと同じであることを確認しました。

これは本番サーバーとテスト サーバーの両方で発生します。私は両方のオプションに従いました。つまり、WLAPP ファイルのアップロードのみを行い、別の試みで WAR ファイルを再インストールし、WLAPP ファイルを再アップロードしましたが、それでも問題は解決しません。私のプロダクションには 2 つのサーバーがあり、どちらも別々で、スティッキー セッションが有効になっているロード バランサーに接続されています。私のテストには、ロードバランサーに接続された 1 つのサーバーがあります。

3 つのサーバーすべてのローカル データベースとして DB2 を使用しています。驚くべきことに、Worklight Studio (開発) は問題なく動作します。問題は Android と iOS の両方にあります。

以下は、私が従っている手順です。

1. プロジェクトを Worklight Studio (デスクトップ) にインポートする
2. ビルドしてローカル マシンで実行する
3. すべてのアダプターをデプロイする
4. ビルドしてローカル マシンで実行する
5. 機能の検証
6. コンソール認証を使用するように authenticationConfig.xml を変更します (毎回同じユーザー名パスワードで同じファイルを使用します)。
7. 実動サーバーを指すように worklight.properties を変更します
8. console.username と console.password を提供します
9. リモート・サーバー用にビルドします (実動/テスト・サーバーの URL を提供します) 10.アプリケーションをワークライト・コンソールにアップロードします
10. アプリケーションを開いてみてください。
11. 同じ手順に従うと、初めて直接更新が正常に機能し、次の更新でダウンロードとアンパッケージのループが開始されます。

他の誰かが同じことを経験していますか? 回避策/解決策はありますか?

この質問は私たちのプロジェクトで出てきました:

セキュリティは、Android の App Authenticity を含む MobileSecurity-Test (XSRF など) を使用して HTTPS で機能するようになりました。私たちのアダプターはユーザー/パス認証を必要としないため、他のレルム、認証、またはログイン モジュールは構成されていません。アプリは、WL.Client.connect の直後にアダプター プロシージャを呼び出すことができます。

サーバー・サイド Javascript コード・インジェクション攻撃を防ぐために Worklight はサーバー・サイドで何をしていますか?

このタイプの攻撃の詳細: http://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf

つまり、(困難ではありますが) 誰かが私たちの APK を使用して Worklight Auth/Security メカニズムをだますことができる新しい APK を作成できたと仮定すると、サーバー側の Javascript コード インジェクション攻撃に対して脆弱になりますか?

すべての WL サーバー呼び出しのすべてのパラメーターが評価され、最大限安全な方法でテキストから Javascript オブジェクトに解析され、サーバー上でパラメーター テキストが Javascript コードとして実行される可能性がまったくないかどうかという問題に要約されます。 ?

もしそうなら、WL サーバー Javascript 実装が保護されていて、私たちが気付いていない可能性のある追加のタイプの攻撃はありますか?

I've set my authenticationConfig.xml to work with LTPAAuthentication in this way:

It works well with application where i require LTPA Authentication. But there are some apps deployed on the WL Console that not need any authentication, they just call adapters. From browser (PReview common resource) they work as well as before, but if i run them from my android i get those error on Logcat:

...................................... (all the login.html page)

It returns me the entire login.html page as it does with application that requires LTPA mobile test, here you can see the application-descriptor.xml that highlight no need of security tests:

Any suggestion?

EDIT: this is the adapter, it doesn't require security tests

すでに実行中の Worklight アプリケーションがあります。明日、別の本番クラスターに移動する予定ですが、最初のクラスターに既にデプロイされている古い .wlapp を取得したいと考えています。

どうすれば入手できますか？WebSphere アプリケーション サーバーの一時ファイルにディレクトリが見つかりましたが、展開された形式になっています。それらの 1 つを zip して .wlapp に変換すると、デプロイは成功しましたが、ダイレクト アップデートが行われ、アプリケーションが起動しませんでした...

それは正しい道ですか？