使用的是IBM Worklight Studio 6.1.0.02-20160314-1430
其混合应用程序。
在应用程序中进行检查(网络 - >查询)时,应用程序和适配器调用之间的请求和响应数据显然变得可见。它还可以通过使用像Charles这样的第三方工具中断worklight app来编辑请求或响应参数。在应用程序中实现了SSL固定,但是一些SSL固定方式也可以像在线提供的许多工具一样易碎。 Worklight是否为适配器和应用程序之间的通信提供了请求和响应参数的任何加密 - 解密机制。
目前我尝试在应用端添加自定义加密,在适配器端添加自定义解密以获取请求参数。这是一个非常繁琐的过程,因为我的应用程序有数百个程序。请让我知道我可以实现的任何集中安全性,以便在app和worklight服务器之间的任何地方都不应该看到请求和响应,即使有人也在检查。
答案 0 :(得分:1)
当您通过Charles等代理重定向流量时,预计会以纯文本形式进行通信。在此方案中,您可以通过接受Charles颁发的证书来配置设置,并修改您的应用程序以通过Charles直接进行通信。如果您尝试嗅探正在进行的SSL流量,则不会以纯文本格式显示数据。
也就是说,证书固定功能可以从开始使用MFP 7.1开箱即用。在对服务器进行任何调用之前完成证书锁定,因此可以保护所有通信。 您似乎已经采用了另一种在客户端加密参数并稍后在服务器上解密的方法。如果您有许多适配器调用,您可以使用单个方法生成加密内容,并且可以通过此方式传递所有适配器调用参数。