当前位置: 首页 > 知识库问答 >
问题:

保安带玩!来自外部应用程序

高嘉熙
2023-03-14

我正在用Play写一个私有的REST API!我会从一个移动应用程序中拨打电话,我对如何保持它的安全感到困惑。

在研究Play!文档中的另一个Blog引擎示例时,我研究了他们的身份验证示例,它处理通过浏览器登录的问题。根据我对Play!的安全模块的理解,它有助于浏览器会话。此外,我看到的每个StackOverflow问题都与web上的管理模块有关,这些问题也与会话有关。

我目前对安全性应该如何工作的理解:

  • 移动应用程序“登录”web应用程序并获得某种令牌
  • 在随后的每次调用中,该令牌被追加到API调用的末尾
  • 如果移动用户“注销”或令牌过期,web应用程序将删除令牌
  • 为了维护安全性,每个API调用都使用HTTPS

我是否可以从移动应用程序向我使用Play创建的web应用程序发出HTTP请求!框架,同时保持安全?

编辑2:我查看了OAuth提供者的信息,它似乎解决了这个问题。我唯一担心的是V2.0有已知的安全缺陷,而对于我所需要的只是移动应用程序和web应用程序之间的安全连接的情况来说,V1.0似乎很难实现。如果我让每个调用都需要SSL,我是否可以让每个播放方法只以用户名和密码为参数,而完全忽略OAuth?

共有1个答案

东门阳飇
2023-03-14

您让移动应用程序通过web应用程序授权自己的示例是通过像OAuth这样的授权框架实现的。这允许web应用程序允许用户登录,然后向移动应用程序发出访问令牌,用于以该用户的身份发出请求,而移动应用程序不必处理用户的密码。

请看一个用于播放的OAuth提供程序模块。如果你在谷歌上搜索,你可能会找到一个OAuth客户端模块,但这是OAuth的另一面,允许你的web应用程序针对第三方提供商进行授权。然后在移动应用程序中使用OAuth客户端库来处理获取访问令牌的问题。

它甚至可以是面向OAuth的通用Java libary--OAuth的Play 2.0文档指出,它没有提供OAuth 2.0模块,因为它非常简单,甚至不需要库。但是,有几个Java库可用。

https://github.com/mashup-fm/playframework-oauthProvider

 类似资料:
  • 在我们的spring boot应用程序中,我们出于某种目的调用外部API,它将返回大约20mb的JSON数据作为响应。收到响应后,使用ObjectMapper将响应映射到POJO。 我们正在使用RestTemboard调用API并接收响应。 在Spring启动应用程序中处理大型响应数据而不会出现内存问题的最佳实践是什么? 谢谢

  • 我在WebSphere上运行了一个新的CDI Java EE应用程序。现在我想在我的CDI项目中使用一个现有的模块(.jar),但是现有的模块使用带有Spring注释的Spring和一个带有附加bean定义的Spring XML配置文件。通常,我只会在项目中导入Spring XML,但在CDI应用程序中,这将不起作用。 我尝试使用JBoss Seam加载Spring XML,如下所示: @产生@s

  • 基本上,我想使用spring boot auto配置数据源相关功能,并希望将spring boot应用打包到一个war,并部署到Tomcat。 github URL:https://github.com/oneslideicywater/customlizeofkakahair运行MVN构建后,我跳过测试,将部署到TomCat,重新启动它,然后在STS IDE中运行应用程序时,一切都很好。但是会发

  • 我有一个简单的SVG在Illustrator中,它的每个部分我想有一个不同的颜色。SVG目前看起来如下所示。 HTML:

  • 我有一个视频流android应用程序。Firebase项目包含视频链接和元数据。我已经实现了身份验证和firebase数据库规则,这样只有经过身份验证的用户才能访问这些视频。 仍然有人能够访问链接并下载视频上传到youtube上。 所以我的问题是如何完全阻止用户在应用程序之外访问我的json。我已将读取操作仅限于经过身份验证的用户。 任何人都可以使用命令行注册我的项目,然后访问数据吗?

  • 我有一个配置类,如下所示: 在这里之前的所有内容都定义在一个打包的jar中,我在spring boot应用程序中使用它作为依赖项 在Spring Boot应用程序中,我导入了,并调试了代码,看到创建了bean。 这是类,用于导入: 它加载了Spring的自动配置加载。