个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
26
4
我有这样的设计:
有一个核心部分使用 REST 在其上运行 Spring。
还有另一部分有一个 Tomcat 服务器,只有 HTML 文件(不是 jsp 或其他任何东西。)所以如果我想在 tomcat 端更改页面,则无需重新启动应用程序也无需设计和编码部分分开。让我们接受我在我的网络端(tomcat 端)列出用户。然后我的网络端发出 GET 请求,响应以 JSON 形式出现。 PUT、DELETE 和 POST 使用相同的方法。
此时我有 2 个安全问题。
首先,当用户想在服务器端查看 URL 时,我将如何检查授权和身份验证?以及如何限制授权人员使用太 wget 获取我的网页?
其次,如何隐藏我的 REST URL。例如,如果用户调试我的 JavaScript 代码,他/她将看到我正在向带有某些参数的 URL 发出 DELETE 请求,因此他/她将尝试执行相同的操作(或者可以向我的核心服务器发出数千个 GET 请求,如果学习 URL)
感谢您的建议。
最佳答案
首先,为什么要使用 Tomcat 来提供静态文件?我将采用的方法是:
这是你第一个问题的解决方案
URI 不是“隐藏的”,但任何人都无法访问它们。由于用户已经通过静态页面的身份验证,因此请求“rest uri”不需要身份验证。
关于java - 安全问题 : For REST URLs and Static HTMLs,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7309515/
26
4
0
我是一名优秀的程序员,十分优秀!