我有一个 SQL Worklight 适配器,其中的过程不应暴露给除我的 http Worklight 适配器之外的任何东西。我不能在 http 适配器中将这些过程作为私有函数,因为您不能在同一个适配器中混合 SQL 调用和 HTTP 调用。
我考虑过定义一个安全测试,只让来自服务器的调用使用它,有没有安全的方法来做到这一点?我应该使用其他方法吗?
我使用 Worklight 6.2.0 CLI 版本。
问问题
65 次
1 回答
0
您可以使用“穷人”的安全方法,将所有数据库适配器编码为采用额外参数,要求该参数采用只有服务器可以提供的一些值。
使用安全测试肯定可以工作,我只是不确定它会做多少工作。据我所知,您无法在服务器上安装 ChallengeHandler,因此无法使用教程中的简单身份验证模式。所以我认为你会喜欢编写自己的领域。
我的问题是这样做是否有真正的价值。假设您只是用相同的安全测试保护了所有适配器过程(这更容易,因为标准 ChallengeHandler 模式可以工作,因为过程客户端位于 WL.CLient 空间中)。现在只有被授权使用 HTTP 适配器的客户端才能使用 SQL 适配器。通过直接访问 SQL 适配器,他们获得了哪些额外的特权?如果您在 HTTP 适配器中进行一些额外的安全检查,则可能需要将其重构为安全层或一些常用功能。
于 2014-07-18T06:39:28.650 回答