带有REST REST服务的iOS auth/auth
带有REST REST服务的iOS auth/auth
提问于 2013-02-28 14:38:20
我们目前正处于一个新的“网关-服务器”的设计阶段,我们想要开发它。我们的服务器有一个休息服务。我的任务是寻找可行的选择,以保护进入上述休息服务处(auth/auth)。
此服务器将在业务环境中使用,这意味着我们可以一次性使用LDAP/Active。我将通过这个API提供的信息非常有价值,应该在设备和服务器上得到充分的保护。该应用程序和后端将供员工使用,没有公开用户。
我们将使用Application (Glassfish)作为后端的基本组件。我想使用内置的安全机制,因为我想避免发明我自己的解决方案,这些解决方案可能会劣等。
什么是保护后端免受未经授权/未经身份验证的访问的最佳实践?
或更具体而言:
- 我怎样才能保证对后端的访问?
- 是否可以将用户名和密码与从移动设备向后端发出的每一个请求一起传输?
- 根据LDAP验证传输的用户名/密码是一种良好的做法吗?
很高兴知道:
- 网关服务器位于反向代理的后面.
- 当用户想要复制时,他们需要使用用户名/密码进行身份验证(连接到后端)
- 设备与后端之间的通信将受到TLS的保护。
谢谢
回答 1
Security用户
发布于 2013-02-28 18:17:01
在认证系统中有一些常见的缺陷,应该避免:
- 在企业环境中,立即终止身份验证非常重要。如果一名雇员被解雇,他们可能会寻求报复,即使是一个狭小的访问云窗口也足以造成严重的金钱损失。
- 蛮力。必须有一个系统来限制来自特定ip的身份验证请求。阻止请求直到IP能够解决capthca是Google和其他人使用的一个很好的方法。
- 通过不安全的通道泄漏信息。这是通过TLS (或HTTPS)减轻的。TLS有自己的问题,默认情况下总是配置错误。确保您正在使用安全密码套件(TLS、V1或更高版本),并禁用重新协商请求。任何值钱的漏洞扫描器都会显示这些违规行为,它们是野外常见的发现。
- 注入和认证旁路。确保您理解LDAP注入。
强制每个请求包含用户名/密码解决了立即终止的第一个问题。如果每个请求都必须发送到,那么只有一次位置可以撤消访问。LDAP是一个非常快速的非关系数据库,过滤请求非常快(比SQL快得多)。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/31704
复制相关文章
相似问题
腾讯云开发者
