在 Extjs / Java 应用程序上实现安全性的最佳实践

Question

所以我在私有服务器和网络上部署了一个 ExtJs / Java 应用程序并且不需要实现安全性，但现在我被要求在云上部署该应用程序，到目前为止选择 OpenShift（红帽云）太好了...但我一直想知道如何实施安全性... 我曾经使用 spring security core（使用 Grails），但我的应用程序数据库是 CouchDB（实际上使用 CloudAnt 服务），连接它似乎既不容易也不自然......

你会推荐什么？

现在我可以说 http:re-hat-something-else/myapp/mybussinesinterface.html 除非您已登录，否则我不想显示它，所以可以说我已经拥有 mylogin.html 并且可以说我已经拥有对用户进行身份验证的业务方法，会不会是有权在 localstorage 中存储一个令牌，该令牌会告诉我用户是否通过登录页面来验证是否有人试图直接打开 http:re-hat-something-else/myapp/mybussinesinterface.html

当然，我还必须为我的所有后端方法添加额外的安全性，以验证没有人试图直接执行它们...

有什么想法吗？

提前致谢

Answer 1

通常，服务器的工作是保护其内容免受未经授权的用户的侵害。如果 JavaScript 被提供给未经授权的客户端，则所有赌注都将失败。 Java REST API 也是如此：如果它暴露给未经授权的客户端，那么所有的赌注都没有了。显然，服务器需要保护 Java 和 JavaScript 资源。

您正在某种容器（Tomcat、JBoss 等）中运行您的应用程序。您提出的问题最好通过在容器级别实施某种安全性来回答。例如，如果您将shiro 与 JBoss 一起使用，那么它就像实现一个 servlet 过滤器一样简单，该过滤器将拒绝未经授权的用户访问您的应用程序。我相信你可以用 Tomcat 做类似的事情。

哦，请确保您知道“授权”和“身份验证”之间的区别。很可能，没有其他人真正理解它，您需要向他们解释。 （如果他们确实了解其中的区别，那就算你幸运了。）