保护 Play 的 REST API

【问题标题】:Securing Play's REST APIs保护 Play 的 REST API
【发布时间】:2012-10-08 06:18:55
【问题描述】:

我正在尝试将Play 2.xbackbone.js 一起用于一个项目。我的目的是在服务器端创建 RESTful API(所有响应主体都在 JSON 中,所有请求主体也在 JSON 中)。

我想使用 Facebook OAuth(服务器端)来验证我的请求。为此,我将play-authorize 用于OAuth。我遇到的问题是用户会话信息存储在 Play 中的会话对象中。我真的不想在我的 HTML 代码中使用播放模板,如何在没有播放模板的情况下在客户端使用会话对象。

还有什么措施可以在使用 Play 时防止 CSRF/XSS 攻击。

【问题讨论】:

    标签: backbone.js playframework playframework-2.0


    【解决方案1】:

    也许我误解了您的问题,但请注意 Play 是无状态的。这意味着“会话”存储在发送到服务器的 cookie 中。您可以将字符串值存储到该 cookie 并从浏览器访问它们。

    现在,您不想在其中存储关键值,而是服务器端代码可以识别并允许您解决问题的东西。

    【讨论】:

    • 实际上我有相关的问题stackoverflow.com/questions/12964102/… 关于无法访问客户端的播放会话。我也知道播放 cookie 是加密的,因此我无法读取它。我想在此页面上的 HTTP 请求中传递 cookie,但无法访问它。这会有所帮助。
    • cookie 值使用密钥签名,因此客户端无法修改 cookie 数据(否则将失效)。我不认为它们是加密的。这意味着您应该能够获得价值(授予,从未尝试过)
    猜你喜欢
    • 2016-01-17
    • 2019-06-03
    • 2017-04-15
    • 2020-10-11
    • 2016-10-23
    • 2017-01-21
    • 1970-01-01
    • 2019-08-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode