如何从客户端隐藏工作灯适配器过程，但对服务器可见？

Posted 2023-02-26

【中文标题】如何从客户端隐藏工作灯适配器过程，但对服务器可见？

【英文标题】：How do I hide worklight adapter procedures from client, but visible to the server?

【发布时间】：2014-07-16 12:47:09

【问题描述】：

我有一个 SQL Worklight 适配器，其中的过程不应暴露给除我的 http Worklight 适配器之外的任何东西。我不能在 http 适配器中将这些过程作为私有函数，因为您不能在同一个适配器中混合 SQL 调用和 HTTP 调用。

我考虑过定义一个安全测试，只让来自服务器的调用使用它，有没有安全的方法来做到这一点？我应该使用其他方法吗？

我使用 Worklight 6.2.0 CLI 版本。

【参考方案1】：

您可以使用“穷人”的安全方法，将所有数据库适配器编码为采用额外参数，要求该参数采用只有服务器才能提供的某个值。

使用安全测试肯定可以工作，我只是不确定它会做多少工作。据我所知，您无法在服务器上安装 ChallengeHandler，因此无法使用教程中的简单身份验证模式。所以我认为你会喜欢编写自己的 Realm。

我的问题是这样做是否有真正的价值。假设您只是用相同的安全测试保护了所有适配器过程（这更容易，因为标准 ChallengeHandler 模式可以工作，因为过程客户端位于 WL.CLient 空间中）。现在只有授权使用 HTTP 适配器的客户端才能使用 SQL 适配器。他们通过直接访问 SQL 适配器获得了哪些额外的特权？如果您在 HTTP 适配器中进行一些额外的安全检查，则可能需要将其重构为安全层或一些常用功能。

【讨论】：

感谢您的回答。暴露 SQL 适配器的问题在于它们用于获取任何客户端都不能使用的解密密钥。 HTTP 适配器使用此密钥解密凭据以发送到后端服务。

明白。在这种情况下，我的两个建议中的任何一个都会起作用。这里重要的是会有一些“秘密”，密码或密钥或证书或一些只有服务器拥有的，您需要使用操作系统级别的控制来保护它们。