在我的应用程序中,我使用带有 JavaScript 客户端的 Spring MVC。现在是我需要向我的应用程序添加 4 眼验证表单的时候了。也就是说,第二个物理人必须过来输入他的用户名和密码,以验证某种敏感数据更新。然后系统将根据企业 LDAP 检查该人的用户名和密码,然后返回成功或失败。如果该人的身份验证失败,系统将通知用户无法删除/添加。如果成功,系统将执行更新。
我的问题是,既然所有的服务都是 RESTful 的,我怎样才能以最安全的方式实施这样的解决方案?我听说应该不惜一切代价避免使用 JavaScript API 加密密码并通过网络发送密码,因为任何中间人攻击都可能造成严重破坏。我也不想使用 HTTPS,它只能用于代表我应用程序的 1% 的表单的目的。我应该去 Spring Security 吗?如果是这样,我如何将 Spring Security Web 表单集成到 JavaScript 框架中?任何想法或经验都会受到欢迎。
最好的,吉米