【发布时间】:2016-11-01 14:28:47
【问题描述】:
我需要保护我的 JAX-RS 资源并且只接受来自授权移动应用程序的请求。这可能吗?如何做到这一点?
我的所有资源都已通过用户身份验证得到保护,这里的目标是减少用户 ID 钓鱼尝试。我知道一种解决方案是将响应错误与无效的用户 ID 保持通用,但应用程序非常大,目前这是不可能的。
我想出的一个想法是使用使用共享密钥签名的 JWT 令牌。然后我可以在服务器上添加一个授权过滤器来检查签名。如果它没有验证,则丢弃该请求。这听起来像是一个可行的选择吗?
我担心的是移动设备上共享密钥的安全性,它会被 root 设备破坏吗?
【问题讨论】:
-
这是一个类似的问题,有一些想法:stackoverflow.com/q/28609526/2889165
标签: security mobile jax-rs jwt