问题标签 [worklight-security]

我正在使用 Workilight 6.0 版，并且正在尝试对 Workilght 的适配器进行安全测试。首先，我开发了一个登录页面和主页，在用户通过身份验证后，我将在其中显示一些信息。身份验证似乎没问题，因为我正在获取用户信息和会话 ID，我将使用安全测试在下一个 HTTP 适配器的 cookie 中发送它们。

问题是我从指定的适配器获取 NullPointerException，但是当我使用 RestClient 执行请求时，我得到了响应，因此 WS 正常。

任何人都知道如何做到这一点？

PS：我的代码在 worklight V5.0 上工作，但在 V6.0 上不工作

我正在Worklight 6.0 版中进行演示，我需要在其中使用从iOS 和Android 到Worklight Server 的SSL。

有没有办法在 Worklight 服务器中使用自签名或测试证书？或者我是否需要从标准 CA 之一购买证书，即使是用于测试/演示？

我已经看到了有关如何在 Android 系统信任库中导入我的证书的参考资料，这看起来很有希望，但我没有看到任何与 iOS 等效的东西。有许多本机代码解决方法（完全禁用 SSL 证书验证）以及关于哪种解决方案有效/无效的大量讨论（并且没有讨论我能找到的在 iOS 7 上仍然有效的方法）。

将证书导入 Android 系统信任库是开发的最佳方法吗？

是否有适用于 iOS 的简单解决方案，允许不完全禁用证书检查的自签名或测试证书？

我无法让 Worklight 注销工作。

注销按钮：

当点击它时，我得到：

但是领域定义得很好，点击后会调用该领域的注销功能。我调查了 Worklight 来源，发现问题出在：

所以错误是从：

我应该在哪里设置用户信息？或者为什么会抛出这个错误？我在示例来源中没有找到任何信息。

我正在尝试将角色列表从 WL 服务器返回到移动客户端设备

在我的 LoginModule 的 createIdentity 方法中，我添加了以下代码

显示名称“Fred Flintstone”被返回到移动设备，自定义属性被返回，但组信息似乎在某处丢失。

我在移动设备日志中显示以下内容

"BasicAuthRealm":{"userId":"user1","attributes":{"AuthenticationDate":"Thu Nov 14 22:39:35 EST 2013"},"isUserAuthenticated":1,"displayName":"Fred Flintstone" },"WL-Authentication-Success":{"BasicAuthRealm":{"userId":"user1","attributes":{"AuthenticationDate":"Thu Nov 14 22:39:35 EST 2013"},"isUserAuthenticated" :1,"displayName":"Fred Flintstone"}},

我正在运行 WL 6.0.0.1 企业版并针对 Liberty 服务器 v8.5.5.0 运行

有任何想法吗？

这个问题出现在我们的项目中：

安全性现在可以在 HTTPS 下使用 MobileSecurity-Test（XSRF 等）运行，其中包括适用于 Android 的 App Authenticity。我们的适配器不需要任何用户/密码验证，因此没有配置其他领域、验证或登录模块。应用程序可以在 WL.Client.connect 之后立即调用适配器过程。

Worklight 在服务器端做了什么来防止服务器端 Javascript 代码注入攻击？

有关此类攻击的详细信息：http: //media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf

换句话说，（虽然很困难）让我们假设有人能够使用我们的 APK 创建一个能够欺骗 Worklight Auth/Security 机制的新 APK，那么我们是否容易受到服务器端 Javascript 代码注入攻击？

如果所有 WL 服务器调用的所有参数都被评估并以最安全的方式从文本解析为 Javascript 对象，并且参数文本永远不可能在服务器上作为 Javascript 代码执行，那么这几乎可以归结为一个问题?

如果是这样，WL Server Javascript 实现是否有任何其他类型的可能攻击受到保护，我们甚至可能不知道？

当我在登录屏幕中第二次登录时出现以下错误。

在 submitauthentication（在适配器中）中，我检查用户名和密码是否正确，如果正确，我在 WorklightRealm 中设置 activeUser，如下所示：

如何检查用户是否已经登录？在我显示登录页面之前，这在客户端是最好的吗？或者我应该让他们能够在其他时间登录，如果他们已经登录，也返回 userId？

Given the following code, the onSuccess is not being called back on a successful connect. I've listed the code and log output for the sequence of events. Is the code set up wrong? connectOnStartup is set to false in the initOptions. This code is also in the Shell project with the logcat coming from the Inner project using the Shell:

As seen in the logs here wlCommonInit is being called and logged, but the log statements in the onConnectSuccess is never written...

继上一个问题之后，我可以在自定义属性部分返回组列表，但是我想知道我需要做什么才能以标准 JSON 结构返回它们。

如果我发回一个 Java 列表

然后客户端收到

如果我在 hashMap 中添加组

我在客户端收到以下响应

我真正想要的是这样的

我已经实现WASLTPAAuthentication（使用 WASLTPALoginModule 和 Realm）并且效果很好。
我可以调用我的 JAX-RS，他们通过 cookie 获取身份。

我的问题是：在我点击主页按钮并打开最近应用程序的菜单以滑动并退出应用程序后，一旦我再次打开它，会话被破坏并且 cookie 丢失，我需要插入我的凭据并再次登录。

有没有办法防止这种情况？我是否需要以某种方式将 cookie 存储在 localStorage 上？

我在 worklight.properties 中指定了以下内容：

在 worklight.properties 中。

但是，在 SystemOut.log 文件中有一条警告消息“ com.worklight.server.bundle.api.WorklightConfiguration getStringProperty Using empty value for configuration property 'console.password ' in SystemOut.log 文件。

这对我来说看起来很奇怪，因为没有警告 'console.username' 虽然我实际上不希望在我使用 '.enc' 指定加密字符串时会出现这样的警告。

为了调查这个问题，我进一步进行了以下测试：

试用1）指定console.username.enc和console.password

结果：Worklight 控制台可以成功登录，而 SystemOut.log 中没有任何警告消息。因此，不会因为加密/解密问题，因为 console.username.enc 可以成功解密。

试用2）指定console.username和console.password.enc

结果：出现相同的警告消息（...为配置属性“console.password”使用空值...）

试用3）指定console.username和console.password

结果：Worklight 控制台可以成功登录。

试用 4) 从 worklight.properties 中删除 console.username 和 console.password

结果：出现两条警告消息 - “使用空值配置属性'console.username'.....'console.password'）

所以，这个问题似乎只有从“console.password.enc”（但不是“console.username.enc”）读取值的问题，这听起来很奇怪。

你有什么主意吗？谢谢！