java - Web 应用程序安全架构

Question

我有一个 Java Spring 驱动的 REST API 服务器连接到 PostgreSQL 数据库和一个 Java 中的 Spring Web 服务器，它使用 JavaScript 将 REST API 的内容提供给客户端(现在是浏览器，但将来还会是移动应用程序)。

我已经阅读了很多文章和主题，了解如何保护 REST API，但我还不能做出最终决定。我不想拥有基本授权，因为它没有意义，因为我需要在 JavaScript 中存储凭据，任何进入网页和开发人员控制台的人都可以轻松访问和阅读这些凭据。我不想向最终用户显示任何凭据，所以我不能将它们保留在客户端。

我已经阅读了很多关于 JWT 的文章并且几乎决定实现它，但我听说它有一些缺点并且从那时起我就不太确定它是否是我想要选择的选项。我知道还有 oAuth 1.0 或 oAuth 2.0，但我不知道我是否想要这么复杂的东西。我还想将经过哈希处理的用户凭据存储在我自己的数据库中，以便不依赖任何其他凭据提供商，如社交媒体或 Google。

现在我在我的 web 服务器上创建另一个层作为代理，希望它允许我使用 Spring Security 在此代理级别上对用户进行身份验证，并使用某种类型或 cookie 或其他东西进行身份验证，但我不是这样确定这种方式是否可行，它会增加响应时间，增加复杂性并需要我为这些端点编写 Controller 方法。我现在的架构如下:

客户端(浏览器)-> Web 服务器 -> REST API 服务器 -> 数据库

我还拒绝了所有外部连接，只允许本地主机访问 tomcat 级别的 REST API，这样我就必须只在 Web 服务器上实现安全级别，允许在 Web 服务器和 REST API 之间自由传输信息无论如何都无法访问。

Web 服务器和 REST API 在运行 Tomcat 实例的同一台服务器上。

我也不太确定这种架构是否允许我通过网络服务器对移动应用程序客户端进行身份验证。

如果您在这件事上给我任何建议，我将不胜感激。我在安全方面没有那么丰富的经验，所以我有点迷失了自己应该做的事情。这种架构是否有意义，或者我应该直接从任何类型的客户端询问 REST API，无论是网页还是来自不同 IP 的移动应用程序，并且仅保护 Rest API？如果我想保护我网页的某些子页面或移动应用程序的某些部分，那应该是一个完全不同的层吗？

感谢您的帮助。

Answer 1

您已经通过了 OAuth、JWT token 等。如果您不想使用它们，那么您可以创建您的自己的基于 token 的身份验证系统。(比如'TokenHandler').

这个 TokenHandler 将如何工作？

TokenHandler 就像一个网关服务器，即您的每个 REST API 请求都将通过此服务器应用程序进行路由。因此，您将使用 header 中的 authToken 来解决您对移动和 Web 应用程序调用的困惑。此服务器应用程序的主要职责是接受 token 并根据维护所有 token 详细信息的数据库进行验证。该数据库将包含有关上次使用 token 进行验证时的时间戳的信息，以决定您的验证规则。

token 将如何生成？ token 可以是任何随机的 64 位字母数字字符串，并且将在每次登录 Activity 期间在数据库中生成和更新。登录网络服务在响应正文中返回此 token 。

验证规则可以是什么？这可能取决于您的业务逻辑。我更喜欢保持 15 分钟的 Activity session 窗口。意味着如果您访问网络服务，您将获得 15 分钟以上的 Activity 窗口。如果您连续 15 分钟没有访问任何服务，那么从第 16 分钟开始，您将需要再次登录才能访问更多调用。这部分可以根据需要更改。

客户端将如何处理？客户端将存储此 token 并在每次请求调用时传递此 token 。 token 处理程序将验证并将其请求重定向到应用程序服务器。因此，您的一个 token 处理程序可用于对多个应用程序服务器进行服务器身份验证。这可以通过应用程序端点标识符来实现。

如果您有任何问题或建议，我愿意进一步讨论。