IBM Worklight 6.1 - WL.Server.setActiveUser 凭证,它安全吗?

Posted

技术标签:

【中文标题】IBM Worklight 6.1 - WL.Server.setActiveUser 凭证,它安全吗?【英文标题】:IBM Worklight 6.1 - WL.Server.setActiveUser credentials, is it secure? 【发布时间】:2014-04-28 16:10:09 【问题描述】:

Worklight 6.1 文档确定“凭据”(例如密码)可以添加到提供给WL.Server.setActiveUser() 的用户身份对象 (UIO)。

UIO 存储在 WL 服务器上的方式和位置,这是否被视为安全存储?

试图了解在此结构中存储密码以供检索并用于后续后端访问(云)请求的安全隐患。如果不安全,是否可以将加密应用于 UIO 的任何部分?

感谢您提供的任何建议。

【问题讨论】:

【参考方案1】:

用户身份对象保存在内存中,并且作用于当前会话。 换句话说,凭据不会持久化;需要转储服务器内存并对其进行挖掘或连接调试器。它被认为是安全的。生产服务器也应该在安全的环境中运行,对进程的访问权限有限,等等......当然。

适配器可以使用存储在此对象中的凭据代表用户向后端进行身份验证。

在 HTTP 适配器中,身份验证方案 Basic、Digest 和 NTLM 使用该技术 在非 HTTP 适配器和自定义身份验证方案中,开发人员可以根据需要使用这些凭据。

【讨论】:

以上是关于IBM Worklight 6.1 - WL.Server.setActiveUser 凭证,它安全吗?的主要内容,如果未能解决你的问题,请参考以下文章

IBM Worklight 6.1 - 如何打开 https 链接?

IBM Worklight 6.1 - 无法重新生成 iPhone 本机文件夹

IBM Worklight 6.1 支持 iOS 64 位代码

IBM Worklight 6.1 - 如何将应用程序连接到远程 Worklight 服务器?

IBM Worklight 6.1 - Cordova 插件未执行

IBM Worklight 6.1 - iOS 6.1 上的 App Center 错误