Sicherer REST-Service

M

miketech

Bekanntes Mitglied
Hi zusammen,

ich möchte über eine Webanwendung (Javascript auf der Client-Seite) auf einen REST-Service zugreifen. Jetzt soll aber nicht jeder auf alle Ressourcen zugreifen können. D.h. angenommen ich habe Adressen:

http://myhost/address/{id}

Jetzt sollen nicht alle IDs für jeden zugänglich sein. Sondern abhängig von den Zugangsdaten sollen nur bestimmte Adressen abgefragt werden können. So soll auch ein GET auf

htt://myhost/address

nicht alle Adressen liefern, sondern nur diejenigen, die man mit seinen Zugangsdaten lesen kann.

Wie gehe ich mit dieser Situation um? Schicke ich bei jedem Aufruf immer noch username und password als Credentials mit? Und das jeweils als Klartext? Wo prüfe ich die Zugangsdaten?

Ich will die Steuerung nicht unbedingt über den Tomcat direkt und HTTP Access lösen, weil ich dann ein LDAP oder sowas anbinden müsste. Ich habe die Zugangsdaten wie bei klassischen Webanwendungen in einer SQL-Datenbank gespeichert.

Gruß

Michael
 
T

Tobias

Top Contributor
Ich habe in einer ähnlichen Situation folgendes gemacht:

mydomain.de/adress/id?username=ich&sec=aghsjdhten28782ksmasz2kmwhs82

mydomain.de/adress/id ist der angefragte Datensatz
?username=ich ist der mitgeschickte Username
sec=... ist ein SHA1-Hash über die gesamte aufgerufene URL, in die an vorher definierten Stellen das geheime Passwort des Aufrufers eingewoben wurde
 
C

cr4ch

Mitglied
Grundsätzlich arbeitet du doch wahrscheinlich auch mit einer Session und "legst" den User da ab?
Musst dann bei einer Anfrage doch nur prüfen, welchen User (bzw. ob ein User) in der Session ist und dieser hat dann "irgendwelche" rechte.
Oder ist mein Denken da gerade ein wenig naiv?
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
sascha-sphw Statuscode REST Response DELETE SOA 2
B Authentication & Authorization REST API SOA 43
B REST - es gibt eine REST API, wie mache ich nun in JAVA weiter? SOA 8
mrBrown Rest - Bilder mit Metadaten modellieren SOA 24
OnDemand REST Client Aufbau SOA 7
D POST-Request mit Chrome Rest Client wirft Fehler : HTTP Status 415 - Cannot consume content type SOA 3
Shams Was ist ein "Deployment" bei Rest? SOA 1
M HTTP 400 Feher bei REST Web Service durch POST per FormParam SOA 3
M Kann man das Protokoll eines REST (Jersey) bzw. SOAP Web Services manipulieren? SOA 5
P REST POST -> return SOA 4
G WebServices REST SOA 5
H [REST] Deserialisierung eines Object-Feldes SOA 6
G Rest und Sicherheit SOA 3
J Berechtigungen bei REST SOA 2
G Rest - Session Handling SOA 3
J REST mit java client und php server SOA 22
C REST Webservices, XML Ausgabe und Objektübertragung SOA 2
F REST Service mit Netbeans und MySQL Datenbank SOA 1
D Sicherheit bei REST-Webservice SOA 19
K Vortrag über REST SOA 5
T Hat AXIS2 noch Zukunft und wie REST implementieren? SOA 6
T Rest Webservice der 2 verschiedene XML Objekte(JaxB) entgegennimmt SOA 10
J Behörden Soap service konsumieren SOA 4
D einen alten Service durch einen neuen ersetzen SOA 0
R [Web Service] Verzicht auf SOA 1
M Push Web Service: Invalid UTF-8 start byte SOA 2
E Def. Web Service SOA 5
P RESTful Service -> Post SOA 2
T Web Service Objekt übertragen SOA 5
M Web-Service in Glassfish integrieren SOA 1
C Problem mit digitalen Signaturen auf Web Service Seite SOA 3
Java.getSkill() web service soll online xml datei lesen SOA 4
G Problem bei Zugriff auf .Net Web Service SOA 3
K Axis2 Service / deploying to Tomcat 5.5.25 / web.xml SOA 5
A Cannot bind transaction factory in CORBA naming service SOA 1
R Open Source Web-Service Gateway SOA 2
L Web-Service und EJB's SOA 3

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen


Oben