假设我在WebSphere Application Server上运行应用程序,并且在某个Java类中,它通过提供客户端和客户端密钥来接收OAuth2的刷新令牌来进行REST调用,然后在某些时候,它也会通过提供刷新令牌来接收访问令牌来进行REST调用。
源代码显然不会在调试和检查这些值时可见,但我的问题是,这些REST调用中传递的值(即客户机密钥和刷新令牌)和响应(访问令牌)是否可以)有权访问运行服务器的计算机的人查看?
我问的原因是我正在考虑将这些不变的值(客户端ID,客户端密钥,刷新令牌)存储在除Java代码中的JDBC连接以外的任何人都无法查看的地方,我打算将这些值用于某些服务器的身份验证。我不希望使用此应用程序的人能够查看这些值,因为如果可以,他们可以通过访问服务器上的其他公共API来做一些损害。
我打算只让Java代码(后端)与服务器进行交互以进行身份验证并获取某些资源,但我不想允许有权访问此计算机的人(但无法访问这些值的位置)存储)以查看REST请求和响应的详细信息。
谢谢。
答案 0 :(得分:1)
目前还不清楚你在不同的地方指的是哪个服务器。
如果您从WebSphere服务器向第二台服务器发出出站HTTPS请求,则必须假设请求和响应的所有详细信息都在两个方面对软件操作员可见。
任何一方都可以追踪自己的所有输入和输出。