所以我在私有服务器和网络上部署了一个ExtJs / Java应用程序,并且不需要实现安全性,但现在我被要求在云上部署该应用程序,到目前为止选择OpenShift(Red Hat Cloud)太好了......但我一直想知道如何实施安全性...... 我曾经使用Spring安全核心(使用Grails),但我的应用程序数据库是CouchDB(实际上使用CloudAnt服务),连接它似乎并不容易或自然......
你会推荐什么?
现在我说http:re-hat-something-else/myapp/mybussinesinterface.html我不想显示,除非你被记录,所以我可以说我已经拥有mylogin.html并且假设我已经有了一个验证用户身份的业务方法,在localstorage中存储一个令牌是否正确,该令牌会告诉我用户是否通过登录页面来验证是否有人试图直接打开http:re-hat-something-else/myapp/mybussinesinterface.html
当然,我还需要为我的所有后端方法添加额外的安全性,以验证没有人试图直接执行它们......
有什么想法吗?
提前致谢
答案 0 :(得分:2)
通常,服务器的工作是保护其内容免受未经授权的用户的侵害。如果JavaScript被提供给未经授权的客户端,则所有投注均已关闭。 Java REST API也是如此:如果它暴露给未经授权的客户端,则所有赌注都将被取消。显然,服务器需要保护Java和JavaScript资源。
您正在某种容器(Tomcat,JBoss等)中运行您的应用程序。通过在容器级别实现某种安全性,可以最好地回答您提出的问题。例如,如果您将shiro与JBoss一起使用,那么就像实现一个servlet过滤器一样简单,该过滤器会拒绝未经授权的用户访问您的应用程序。我相信你可以用Tomcat做类似的事情。
哦,并确保您知道“授权”和“身份验证”之间的区别。机会是,没有人真正了解它,你需要向他们解释。 (如果他们确实理解了这些差异,那就算好运了。)