java - 如何使用第二个身份验证因素来保护某些 REST 请求？-6ren

java - 如何使用第二个身份验证因素来保护某些 REST 请求？

转载作者：塔克拉玛干更新时间：2023-11-02 08:04:31

25

4

我有资源服务(REST 服务)和其他一些使用资源服务的服务。

通过 OAuth 保护的资源服务。此外，一些请求必须受到通过短信发送的 OTP(一种类型的密码)的保护。

我知道如何生成代码并通过短信发送，但我不知道如何组织 Rest Controller 以及收到资源请求后要做什么。

例如:我们向 Controller/api/user 做 GET 请求。此时资源服务器向用户手机发送消息，接下来呢？

我不能做另一个端点来获取 otp，然后使用 HTTP header 或请求正文发送它，因为其他服务必须不知道此代码。

如何正确组织这种互动？如何组织对 Rest Service 的这种保护？

我们使用 Spring。非常感谢您的任何建议。

最佳答案

好吧，你可以这样做:

使用动态路径创建 REST 服务。 /rest/some/service/unique-long-id
不要为此动态路径请求安全。
如果 unique-long-id 存在且未过期，则创建服务以检查并授予对资源服务的访问权限。
一旦用户发布 SMS 代码，仅为该用户重定向到此动态路径。

例子:

您发送短信密码:1234567890

REST 服务验证此 pin 码并将我重定向到

/rest/some/service/c83b5cf29d264ac7b86f27cc77af3f54979feefaf820edae36b2518a7e613385

如果此唯一代码有效，您将授予我访问资源服务的权限。如果不是，404 错误或 401 错误。

编辑:

实现您的要求的两种方式:

ServiceB 需要验证动态 ID 以授予对 /api/protectedResource/unique-long-id 的访问权限。
使用 filters 拦截 ServiceB 的 URL (/api/protectedResource/unique-long-id)。如果它通过验证，则授予或拒绝对 protected 资源的访问权限。

在第一种情况下，ServiceA 生成代码并通知用户。 ServiceB 仅在使用动态 URL 发送有效 PIN 码时才提供访问权限:

看这个模拟:

var secretCode;

function generateCode(){
    secretCode = parseInt(Math.random() * 100000000);
    wrongCode  = (secretCode+"").split("").reverse().join("");
    $("#serviceA").val(secretCode);
    $("#resource1").val("/api/protectedResource/" +  wrongCode);
    $("#resource1").attr("onclick", "getAccess('" + wrongCode + "', 'protectedResource1')");
  
    $("#resource2").val("/api/protectedResource/" + secretCode);
    $("#resource2").attr("onclick", "getAccess('" + secretCode + "', 'protectedResource2')");
  
    $("#protectedResource1").val("");
    $("#protectedResource2").val("");
  
}

function getAccess(code, id){
    $("#" + id).val($("#serviceA").val() === code ? "Access granted" : "Access denied");
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.0/jquery.min.js"></script>

ServiceA<br>
POST <input type="button" value="/api/user" onclick="generateCode()" /> Secret code: <input id="serviceA" type="text" value="" />

<br>
<br>
ServiceB<br>
Wrong-ID POST <input id="resource1" type="button" value="/api/protectedResource/-1" onclick="getAccess('-1', 'protectedResource1')" /> Response <input id="protectedResource1" type="text" readonly="true" value="" />
<br>
Correct-ID POST <input id="resource2" type="button" value="/api/protectedResource/-1" onclick="getAccess('1234567890', 'protectedResource2')" /> Response <input id="protectedResource2" type="text" readonly="true" value="" />

如果您需要帮助，我们可以打开聊天

关于java - 如何使用第二个身份验证因素来保护某些 REST 请求？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41379472/

25

4

0

文章推荐： ios - ARC 语义问题 - 没有可见的@interface

文章推荐： android - 无法为调试器绑定(bind)到本地 XXXX

文章推荐： ios - GKTurnBasedMatch 接收数据

文章推荐： Android activity-远程服务aidl双向连接

JavaScript 保护
我知道这有点愚蠢，但我需要保护 javascript，从某种意义上说，我希望增加尽可能多的安全性，以免它被盗版。好吧，因为它是系统的核心组件。我打算用YUI compressor来压缩混淆。但我还想
vba - 保护/取消保护图表工作表
因此，当我的宏运行时，我有这些简单的子程序可以解除保护而不是保护东西，唯一的问题是我的一些工作表实际上是图表，并且在调用这些子程序时它们没有得到保护。如何更改我的代码以合并图表？谢谢! Sub Unp
xss - csrf 保护
有很多关于 preventing CSRF 的文章. 但我就是不明白:为什么我不能只解析目标页面表单中的 csrf token 并将其与我的伪造请求一起提交？最佳答案如果您能够将脚本代码注入(in
encryption - 音频加密/保护
关闭。这个问题是off-topic .它目前不接受答案。想改善这个问题吗？ Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
docker - 保护/加密敏感的环境变量
我正在使用一个包含用于docker创建的敏感信息的env文件。但问题是它们并不安全。可以通过docker inspect轻松查看它们，因此，任何可以运行docker命令的用户都可以使用它们。我正在
.net - 保护.NET框架
NSA在此处提供了保护.NET框架2.0版的指南:http://www.nsa.gov/ia/_files/app/I731-008R-2006.pdf 我想知道他们是否提供更高版本的指南，例如版本3
Java JAR 保护
我编写了一个 Java 应用程序，并计划在线发布它。每个版本都将使用我制作的 secret 序列 key 锁定。我需要从反编译器等保护我的 jar 文件。这是我到目前为止所做的: 用户在表格中输入他
PHP 保护 $_GET
我不知道为什么这不起作用。如果 ?Session=2 不是您发出的，那么您将返回您的帐户。这是我的代码: query("SELECT * FROM user_host WHERE uid = '"
security - 保护 Elasticsearch
我是 elasticsearch 的新手，但我非常喜欢它。我唯一找不到也无法完成的是保护生产系统的 Elasticsearch 。我读了很多关于在 elasticsearch 前使用 nginx 作为
C++ header 保护
假设我有以下头文件: #ifndef TESTCLASS_H #define TESTCLASS_H #include class TestClass { public: TestClass
C++ 虚拟 + 保护？
在 C++ 中，我有一个基类 A，一个子类 B。两者都有虚方法 Visit。我想在 B 中重新定义“访问”，但 B 需要访问每个 A(以及所有子类)的“访问”功能。我有类似的东西，但它告诉我 B 无
java - 保护 PDF
我目前正在使用 Apache FOP 库生成 PDF。我希望这些 PDF 免受复制粘贴，因此人们必须使用实际的 OCR 库(或手动输入)来获取 PDF 上的信息。 FOP 显然提供了一些安全性，然后将
php - 保护 JSONP？
我有一个使用 JSONP 进行跨域 ajax 调用的脚本。这很好用，但我的问题是，有没有办法阻止其他站点访问这些 URL 并从中获取数据？我基本上想制作一个允许的站点列表，并且只返回列表中的数据。我正
javascript 全局变量 - 保护
我在基于 Html/Javascript 构建的 Web 应用程序上使用了一些全局变量。我跨页面(或部分页面)使用这些变量，有时它们用作 ajax 调用的发布数据。我的问题是:这有多安全？当然，我可以
php - 保护/限制用户组功能的良好做法
我有一个扩展到多个类文件的大项目。这个项目是在赶时间前匆忙完成的。这对项目安全造成了影响。所以简单来说，理论上任何人都可以在我的项目中调用一个 AJAX 脚本并让它运行，因为脚本中的函数不是用户权限感
c# - 保护 DLL
相当多的人对 ivé 发送给他们的 dll 真正感兴趣，他们不是那种应该经常免费赠送的类型... 我只是想知道，如果我要出售我的组件、用户控件等，我将如何在所有权/加密代码(如果可能)等方面保护它们。
php - 保护 PHP 类免受意外实例化？
我正在开发一个 PHP 库，我们将在其中为客户提供加密代码。该代码将包括一个他们可以实例化的主要类，该类将处理许可证验证并公开其使用方法。主类将实例化几个子类，每个子类都包含在自己的文件中。我怎样才能
Laravel - 保护 API 路由
我有一个以 VUEJS 作为前端的 Laravel 应用程序，我通过创建 API 路由获取数据。因此，例如获取帖子数据的路线将是 http://localhost/api/posts 保护路线的最佳方
security - 保护 websockets 免受外部脚本的影响
在许多网页上，我们都包含外部脚本。无论是类似于 Facebook 的按钮、用于分析或广告系统的客户端代码、外部评论提供商还是其他东西。那些脚本无法访问我的 Ajax 资源，因为一直在检查原始 hea
php - 保护 secret 数据免遭泄露
我目前正在使用 PHP/MySQL 开发一个公开和开放源代码的软件。我在一个文件夹中有几个重要的 SECRET TXT 文件。我在软件中使用它们，但问题是它们也可以被任何知道文件夹和文件名的人读取:

首页

博学

6Ren·AI

商城

java - 如何使用第二个身份验证因素来保护某些 REST 请求？