Worklight 适配器安全性

Posted

技术标签:

【中文标题】Worklight 适配器安全性【英文标题】:Worklight adapter security 【发布时间】:2015-12-15 14:53:43 【问题描述】:

有没有办法保护工作灯适配器,以便只能通过应用程序本身调用适配器程序?目前,如果我没记错的话,您可以访问应用程序之外的适配器,如果会话被劫持,理论上会带来安全风险。

【问题讨论】:

【参考方案1】:

您的问题的简短回答是“否”。调用适配器过程只是向服务器发出 HTTP 请求,因此任何可以复制应用程序所做的事情并以某种方式拦截经过身份验证的会话的东西都可以使用适配器过程,就好像它是应用程序本身一样 - 服务器没有办法知道其中的区别。

如果您担心会话劫持,降低该风险的最佳方法是对会话进行端到端加密 - 即在 MFP 服务器上启用 SSL,并使用 HTTPS 而不是未加密的 HTTP 联系服务器。这样,观察流量的第三方将无法劫持会话,因为它无法访问用于加密会话的私钥。

【讨论】:

参考@Kirill 所说的“目前,如果我没记错的话,您可以在应用程序之外访问适配器”。这只有在我的程序不受安全测试保护的情况下才有可能。如果它受到安全测试的保护,我还可以从应用程序外部调用它吗?我认为 MofileFirst 不允许这样做。 您是对的 - 如果适配器受 MobileFirst Platform 安全测试保护,则您不能在应用程序之外调用适配器。但是,问题中的一个问题是,如果有人劫持了现有会话(安全测试已经完成)会发生什么。端到端加密可以缓解这种担忧。 即使会话被劫持,如何从应用程序外部调用适配器过程? 如果有人能够劫持经过身份验证的会话,他们可以执行该会话可以对其现有身份验证执行的任何操作,包括调用受保护的适配器过程。

以上是关于Worklight 适配器安全性的主要内容,如果未能解决你的问题,请参考以下文章

在 IBM Worklight 中使用适配器调用服务调用安全适配器

是否可以通过适配器 IBM Worklight 中的多个安全测试来保护单个过程

针对适配器冲突的 Work Light 2 安全测试

Worklight - 使用 URL 从非 Worklight 应用程序调用推送通知适配器

基于 IBM Worklight 适配器的身份验证

将 cookie 附加到 WorkLight Adapter 响应标头