如何对项目暴露的webapi进行安全认证?
现在做的B/S项目为了提供给客户端ajax获取和提交数据的接口,加了很多webapi,只需要传递相关的参数即可获取请求结果,感觉像裸奔一样!我想给现有的项目或者刚开始的Java项目加上Http Digest认证,以保证所有访问我的webspi的请求都经过了认证,客户端和服务器端需要做哪些特殊处理呢?tomcat需要做相关的配置吗?我现在只了解Http的认证方式,但如果将其应用到项目中感觉还是一团迷雾,网上也搜不到相关的实例,哪位懂这方面的或者实践过的大虾能给我讲解一下,或者对我这种想法有什么不合理的地方也可以指出来?谢谢。
展开
收起
1
条回答
写回答
写回答
-
肯定是要带Token的,访问还是用户名密码,认证通过cookie里存的就是用户名和token,token是有有效期的,过了有效期你就需要重新分配一个token。这个暴露问题,我也不知道肿么办,不过人家要存心搞你,这些还有用么。你看Digest还不是私钥放在cookie里,虽然用算法加密一次和服务器比对,人家只需要截下你的包,把加密后的验证字符拿去验证就是了。
2019-07-17 19:07:47赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
