我在 Java EE 7 后端上使用 AngularJS 和 REST API。 该项目部署在 Wildfly 应用服务器上,我对证券评级有一些疑问:
为了加密/解密数据,我使用 CryptoJS 在服务器端 (Java) 加密和解密,但显然我们必须以明文形式发送密码,密码和盐仅被加密。 我的问题是为什么密码是明文?它应该是 secret 的,然后也加密,不是吗?
对于 REST API,Java EE 7、HTTP 安全 header (basic-auth) 使用的标准是什么? Json 访问 token ?以及它是如何工作的,在 cookie 上将用户 session / token 存储在哪里?我只想知道如何使用 Angular 来完成。
也许我可以使用具有基于表单的身份验证的经典 JAAS,然后在服务器端使用 request.login() 进行身份验证,然后我的 EJB 将全部受到@Role 的保护。
在 AngularJS 中保护页面的方法是什么?目前我正在使用 web.xml 并放置 URL 模式,也许有更好的方法?
我已经找到了很多这样的例子:
AngularJs and Jboss and JAAS (全方位安全)
how to integrate angularjs and java jaas based authentication?
一些用户提到了这一点:
* index.html page should contain token inside html to avoid CSRF
* token shouldn't be stored in a cookie storage
* Each request should be signed with header param
* Server should validate every request by passed header
* If cookie usage is a must you should validate referer in order to prevent CSRF
但是没有具体的例子说明如何实现这个,尤其是CSRF。
最佳答案
To Encrypt/decrypt data I am using CryptoJS to encrypt and decrypt on server side ( Java ) but apparently we have to send the passphrase in clear, the cipher and salt are only encrypted. My question is why the passphrase is clear text ? it should be secret and then encrypted as well no ?
一旦您以明文形式发送 key (密码?) - 加密就没有用了。
要实现合理的客户端-服务器安全,请使用 HTTPS。简单、有效且更安全。通常,在 Web 应用程序端加密不是一个好主意,因为用户或“中间人”可以检索或修改 key 和数据。
不同的情况是端到端安全性,当客户端加密、发布加密数据并按原样存储/处理它们时,加密 key 仅对用户可用。如果不是这种情况,并且服务需要数据以进行进一步操作,则 HTTPS 是可行的方法。
For the REST API, what is the standard to use for Java EE 7, HTTP security header (basic-auth) ? Json Access token ? and how it really works, where to store user session/token, on a cookie ? I just want to know how to do it with Angular.
有效地列出了您的选项。这是你的决定。每个选项都有其优点和缺点。基本上 - 如果您谈论的是 (REST) 服务,那么使用什么技术应该无关紧要。
对于直接从浏览器调用的 REST 服务,我将省略基本身份验证(否则用户会弹出身份验证窗口)
您可以使用 JWT token (由应用程序 secret 签名,只需添加一些到期日期),但您无法“注销”用户,只能等到 token 到期。优点是, token 是“自给自足”的,您无需担心 session 管理。客户端在 Authorization HTTP header 中发送 JWT token ,您只需对其进行解码、验证,然后您就可以从 token 中获取身份。
另一个选项是 session token (cookie 或作为授权 header 发送),您需要在其中管理 session (存储 token ,在注销时清除 token ,...)。使用应用程序服务器 session cookie 会使您的服务无法被其他应用程序使用(仍然是一个问题 - 您是否希望/需要第三方可重用服务),但您实现了内置授权(JAAS、 Angular 色等)。
Maybe I can use the classic JAAS with form-based authentication and then having request.login() on server side to be authenticated then my EJB will be all protected by @Role.
确实,这是一种验证和授权用户并颁发 token (jwt、cookie 等...)的方式。
What is the way to protect pages in AngularJS ? For the moment I am using the web.xml and putting the URL patterns, maybe there is a better way ?
默认的web授权应该就可以了。
仍然 - 保持简单。根据我的经验,静态资源(网页、图像、脚本、css)应该是静态的,它们是否公开可用并不重要。重要的是执行(操作、数据...)作为服务公开,这就是您进行适当身份验证和授权的地方。
玩得开心
关于java - AngularJS - Java EE REST 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30864398/
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht
这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/
HashMap中为什么引入红黑树,而不是AVL树呢1.概述开始学习这个知识点之前我们需要知道,在JDK1.8以及之前,针对HashMap有什么不同。JDK1.7的时候,HashMap的底层实现是数组+链表JDK1.8的时候,HashMap的底层实现是数组+链表+红黑树我们要思考一个问题,为什么要从链表转为红黑树呢。首先先让我们了解下链表有什么不好???2.链表上述的截图其实就是链表的结构,我们来看下链表的增删改查的时间复杂度增:因为链表不是线性结构,所以每次添加的时候,只需要移动一个节点,所以可以理解为复杂度是N(1)删:算法时间复杂度跟增保持一致查:既然是非线性结构,所以查询某一个节点的时候
遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg
我基本上来自Java背景并且努力理解Ruby中的模运算。(5%3)(-5%3)(5%-3)(-5%-3)Java中的上述操作产生,2个-22个-2但在Ruby中,相同的表达式会产生21个-1-2.Ruby在逻辑上有多擅长这个?模块操作在Ruby中是如何实现的?如果将同一个操作定义为一个web服务,两个服务如何匹配逻辑。 最佳答案 在Java中,模运算的结果与被除数的符号相同。在Ruby中,它与除数的符号相同。remainder()在Ruby中与被除数的符号相同。您可能还想引用modulooperation.