会话& IBM MobileFirst Platform 7.1中的令牌修复
我们正在开发基于MFP 7.1的混合应用程序cordova。据观察,该应用程序使用客户端ID作为会话ID。如下面的红色框
发现在重新安装应用程序之前不会更改客户端ID。每当用户登录设备时,其身份将与客户端ID相关联。使用客户端ID,它可以从应用程序服务器检索另一个ID WL-Instance-ID。凭借有效的客户端ID和WL-Instance-ID,攻击者将能够以受害用户的权限访问该应用程序。
如何分离客户ID和会话ID?即,不应仅仅通过客户端ID检索有效的会话ID /令牌。在安全上下文更改期间,应更改会话ID /令牌。
我们按照此处的说明实施身份验证 https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/7.1/authentication-security/custom-authentication/
-
创建mobileSecurityTest以保护适配器的程序;它位于SecurityTests部分。
<mobileSecurityTest name="LoginAdapter-securityTest"> <testUser realm="LoginAdapterRealm" /> <testDeviceId provisioningType="none" /> <testDirectUpdate mode="disabled"/> </mobileSecurityTest> -
使用AdapterAuthenticator处理userIdentity,并在LoginAdapter中定义LoginAdapter.onAuthRequired,LoginAdapter.onLogout两个方法来处理安全请求。
<realm loginModule="LoginAdapterModule" name="LoginAdapterRealm"> <className>com.worklight.integration.auth.AdapterAuthenticator</className> <parameter name="login-function" value="LoginAdapter.onAuthRequired" /> <parameter name="logout-function" value="LoginAdapter.onLogout" /> </realm> -
定义模块以创建和存储LoginAdapterRealm使用的用户身份;它位于loginModules部分。
<loginModule name="LoginAdapterModule" expirationInSeconds="1800"> <className>com.worklight.core.auth.ext.NonValidatingLoginModule</className> </loginModule>
0 个答案:
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?