让我描述一个简单的场景:
这个 URI 代表了一个休息资源:/api/messages/{userid}。用户登录后,将发送一个请求并传递给此 URI “userid”(登录用户)。这样,一旦用户登录,他就会根据自己的 ID 获得自己的消息。
如果用户尚未登录,则 URI 不可见(存在身份验证过滤器)。
问题是:如果一个已经登录的用户发现了这个 uri,他可以提交一个传递另一个 ID 的请求,这将导致安全问题,因为他将能够从另一个用户那里获取消息(只需传递任何随机 ID)。
您能否提出任何安全模型来防止此安全漏洞? (我认为它更可能是一个跨领域问题)。
谢谢,提前!
【问题讨论】:
标签: web-services security rest jersey restful-url
就在我的脑海中,让端点 (a) 仅返回登录用户可见的那些消息,或 (b) 仅在登录用户与 userId 相同时返回消息URI。哪一个取决于您的业务规则。
【讨论】:
在端点中,您可以检查用户,然后查看该用户 ID 是否与路径参数匹配 从用户名中查找 userid 就像使用数据库中的用户名选择 id 一样简单
import javax.ws.rs.core.Context;
import javax.ws.rs.core.SecurityContext;
import ... blablabla;
@GET
@Path("messages/{userid}")
public Response getMessages( @PathParam("userid") int userId, @Context SecurityContext context ) {
String username = context.getUserPrincipal().getName();
int id = getIdFromName(username); // define this yourself
if(userId==id) {
// output the message list
List<Message> msgs = getDemMessagesGURL(); // define this yourself
return Response.ok(new GenericEntity<List<T>>(msgs) {}).build();
} else {
// output Forbidden(403)
return Response.status(403).build();
}
}
使用 oauth,您可以使用 servlet 过滤器根据 oauth 签名设置用户主体
【讨论】: