有没有办法在 IBM MobileFirst Platform 8.0 的 Java 适配器中的两个或多个安全检查之间传递安全数据(用户数据)
基本上,无论用户是否登录,我都需要调用我的适配器资源并产生响应。如果用户已登录,我需要获取用户特定数据,否则需要从后端获取一般信息。例如,当用户未登录时联系信息将是通用的,但如果他/她已登录,则特定于用户位置(用户的位置将根据身份验证数据从后端获取)。 因此,如果我保持我的适配器安全,那么如果未登录,适配器将引发 401 错误,如果我保持我的适配器不安全,那么当用户登录时,我将无法获取用户特定信息。
【问题讨论】:
标签: java authentication oauth ibm-mobilefirst
MobileFirst 不提供基于 OAuth 的基于安全性的模型 1. 从不受保护或不受保护的资源中访问基于安全或用户会话的信息 2. 使资源在运行时安全和不安全
所以有两种选择可以实现需求 1.简单的方法是在同一个适配器中制作两个适配器或两个方法,一个启用OAuth,一个禁用OAuth,让移动应用程序决定调用哪一个 2. 如果我们只想使用一个适配器或方法,那么, i) 适配器或更具体地说,方法必须是 Un-protected 或仅使用 MobileFirst 的 Default_Scope 保护,因为在启动移动应用程序时通过了 MFP 的 Default_Scope 的安全检查 ii) 获取用户特定信息,如果用户从后端系统登录,类似于安全测试中使用的信息 iii) 使用用户特定信息获取用户特定数据
通过执行上述步骤,适配器或特定 API 可以使用用户特定信息,即使其不受保护。由于您不会使用 MFP 开箱即用的安全模型,因此需要明确处理安全性并遵循所有安全措施,以确保用户信息的安全。
【讨论】:
在受保护的适配器方法中,您不能期望经过身份验证和未经身份验证的用户有两种不同的适配器响应。因为只有当客户端回答安全检查挑战时才能访问该方法。
但是,您可以使用 getAuthenticatedUser API 在不受保护的适配器方法中实现它,您可以在其中区分经过身份验证和未经身份验证的用户并根据用户类型发回响应。
并使用UserLogin 安全检查对用户进行身份验证。
【讨论】:
UserLogin 安全检查适配器,客户端应使用Login API 登录,之后每当客户端调用不安全方法时,getAuthenticatedUser 将返回登录的客户端详细信息,不会返回 null。
getAuthenticatedUser() API 总是返回 NULL。