7
Diciamo che abbiamo un sito Web che utilizza un servizio Web per tutte le sue funzionalità (ovvero il recupero e l'aggiornamento dei dati da/verso db), in che modo il servizio Web autentica le richieste?Sicurezza e autenticazione nei servizi Web
Come ho capito, in un "sito Web" java tradizionale, un utente fornisce un nome utente & password e, in seguito alla convalida, all'utente viene assegnato un jsessionid (browser client). Ogni volta che il browser del client chiede al sito qualcosa, il sito verifica la presenza di jsessionid assicurando che l'utente sia registrato e autenticato. C'è un servizio web equivalente a questo? Se si, cosa?
Anche se non sono disponibili "pubblicamente" esattamente, ci sono un paio di situazioni che potrebbero essere problemi di sicurezza. Ad esempio, diciamo che il sito web utilizza javascript (cioè dwr) o flex apps per comunicare direttamente con il servizio web, piuttosto che attraverso il sito web. Mentre il servizio non è "pubblicamente" disponibile, un utente decente può capire dal javascript o flettere come minimo l'indirizzo del servizio web e cercare di usare male tali informazioni. Questo è il problema di cui sono curioso. – King
Poiché JavaScript e Flex sono applicazioni eseguite sul client, ciò significherebbe che il tuo servizio web * è * pubblicamente disponibile. –