MobileFirst 身份验证框架是不是提供任何选项来显式绕过特定资源的安全检查？

Posted 2023-02-25

【中文标题】MobileFirst 身份验证框架是不是提供任何选项来显式绕过特定资源的安全检查？

【英文标题】：Does MobileFirst authentication framework provide any option to explicitly bypass the security check for specific resources?MobileFirst 身份验证框架是否提供任何选项来显式绕过特定资源的安全检查？

【发布时间】：2015-06-05 11:07:54

【问题描述】：

我正在使用 IBM MobileFirst 平台 7 为我的一个客户开发一个混合应用程序。我正在使用以下环境设置来保护应用程序，以便在应用程序启动时连接到 MobileFirst 服务器，应用程序将收到来自服务器的安全挑战。

<iphone bundleId="com.AppTest" version="1.0" securityTest="mobileTests">

应用通过向用户显示登录屏幕来处理挑战。我正在为应用程序使用基于适配器的身份验证。这工作正常。

上述设置存在问题：登录屏幕中有一个“新用户注册”链接，可将用户重定向到注册屏幕。在加载用户注册屏幕时，应用程序正在调用适配器程序来获取一些数据。从注册屏幕调用的适配器过程不受任何安全测试的保护。

即使适配器过程不受保护，上述设置也不允许应用在成功的用户身份验证之前调用该过程。当用户点击注册链接并停留在登录屏幕上时，服务器正在向应用程序发送挑战。

MobileFirst 身份验证框架是否提供任何选项以在使用环境级别保护时显式绕过特定资源的安全检查？我浏览了平台文档，找不到任何此类选项。如果有人遇到类似问题并解决了它，请您分享您处理此问题的建议。谢谢。

【参考方案1】：

从注册屏幕调用的适配器过程不是 受任何安全测试保护。

这是否意味着特定过程没有分配给它securityTest？如果是这样，您可以尝试将其设置为securityTest="wl_unprotected"。即使没有显式设置安全测试，内部仍会分配默认安全性。要禁用它，请尝试提到的wl_unprotected 建议。

在此处阅读更多信息：Understanding predefined Worklight authentication realms and security tests

将 securityTest 值设置为 wl_unprotected 意味着资源 不会受到任何 Worklight 平台安全性的保护 机制。此安全测试不能用于保护应用程序 环境和事件源，因为它们都需要用户和设备 身份。通常这个安全测试是用来保护适配器的 无需任何程序即可公开访问的程序 身份验证要求。

【讨论】：

您好 Idan，我也尝试为适配器过程设置 securityTest="wl_unprotected"。但是行为是一样的。是否有其他方法可以绕过特定程序的安全检查？谢谢。

这就是这样做的方法。如果它不起作用，则意味着您没有提供问题的全部范围；如果您提供可重现且可调试的内容会更容易。