问题标签 [worklight-security]

我正在尝试在 worklight 服务器中实现 serverSessionTimeout。我启用serverSessionTimeout=5并sso.cleanup.taskFrequencyInSeconds=5在 worklight.properties 但没有运气。每个用户登录都有用户数据库条目。理想情况下，一旦会话达到 5 分钟，它应该删除用户数据库条目，但我无法从服务器端清除用户数据库条目。如果有人帮助我，我将不胜感激。

我试图按照这个 url上的教程进行操作，教程非常简单，但我无法得到正确的结果。

下面是我的 authenticationConfig.xml

但是控制台中出现的App Authentication总是“Access Disabled”，我无法启用它。我在这里遗漏了什么吗？

我想通过 http 适配器调用休息服务。我向其余服务的 url 发出获取请求，但它位于受密码保护的域中。（如果我尝试从浏览器访问 url，它会弹出一个输入用户名和密码的窗口。）如何将这些凭据与我的 get 请求一起传递？在此之前我必须提出一个帖子请求吗？

我正在尝试使用基于 SingleStepAuthAdapter 应用程序示例的 Worklight customSecurityTest 开发自定义登录表单。

基本上，我注意到 SingleStepAuthAdapater 中使用的登录函数总是在该用户尝试访问安全函数后被调用（之后，在登录操作时，安全数据被发送给用户），但是如果我尝试调用submitAuthentication 功能直接，在任何尝试访问安全功能之前（我已经用“获取安全数据”页面反转了“登录页面”），我在萤火虫上得到了以下错误/lo：

这两个 POST 调用是 Worklight 在登录操作上引发两次的相同函数（由 singleStepAuthRealmChallengeHandler.submitAdapterAuthentication(invocationData, {}) 调用的 SingleStepAuthAdapter 内的 submitAuthentication 函数），错误与请求两次身份验证的事实有关：可能是当执行身份验证请求，此函数在 handleChallenge 内部调用 submitSuccess() 函数后发出两次（实际上，当我删除 submitSuccess 调用时，不会出现此问题，但未通知 WL 框架，例如isUserAuthenticated 函数返回 false，直到执行对安全资源的访问）。

如何解决此行为？使用 worklight 开发一个简单的登录表单的最佳实践是什么，允许在访问受保护的资源之前进行身份验证？我找到了一些解决方法（例如在执行 submitAuthentication 之前执行虚假数据请求，但我希望您能建议我一个更好的解决方案）。

我已经查阅了信息中心和入门模块，但可能由于我的错误，我无法找到任何有用的信息

虽然我知道破解通过 Appstore 分发的应用程序的机会非常小，但出于安全原因，我仍然想混淆我的 worklight 项目。Worklight Studio 中是否有任何内置工具可用，或者如果没有任何插件可以满足我的要求？

Worklight 提供了一种在适配器中对 Worklight Server 上的数据进行加密、压缩并发送到客户端的方法？还是我需要手动加密？

我目前正在使用 Header Authentication 身份验证/登录模块开发 Worklight 6.0 POC。尝试在应用程序中访问受保护的适配器时，我在控制台中收到以下错误：

403 (Forbidden)
TypeError: Object # has no method 'handleFailure' 我在通过 chrome 中的控制台测试应用程序的 Web 版本时收到此错误。

在 iPhone 版本的应用程序上进行测试时，我也遇到了类似的错误。 例外。TypeError：“未定义”不是函数（评估“handler.handleFailure（wlFailure [realm]）”）

查看 AbstractChallengeHandler 类/函数中的 wlclient.js 文件，我没有看到用于解释上述错误的 handleFailure 函数定义。我认为应该有一个handleFailure 的定义，或者是否需要更多配置来使用标头身份验证保护适配器资源？

我问这个问题的原因是，我试图在我创建的客户端“ChallengeHandler”中测试我的逻辑，我试图理解为什么我无法通过正常的客户端challenge.isCustomResponse/challenge.handleChallenge 通信。

代码/配置如下

任何建议/意见表示赞赏

身份验证配置.xml

HeaderAuthRealmChallenge.js

我正面临 2 个基于适配器的身份验证的问题。我的应用程序是议程（混合应用程序）。所有适配器的功能都必须受到安全保护。

我的应用程序使用基于适配器的身份验证，例如在 DeveloperWorks 上的示例中编写的。

我的第一个适配器（loginAdapter）专用于登录（移动应用程序的开始）。我用 isCustomResponse、handlechallenge 等方法开发了一个处理程序（handlerLogin、移动端）。这个适配器有效。此适配器允许从登录名和密码中获取用户 ID。

一旦连接，用户就可以下载他的议程。移动设备调用另一个基于适配器的身份验证 (calendarAdapter)。我有另一个带有方法（isCustomResponse、handlechallenge）的处理程序（handlerCalendar）。

当手机调用getCalendarData方法（受保护的方法，CalendarAdapter）时，服务器检测到用户没有注册这个适配器，这就是为什么服务器通过函数onAuthRequired发送错误（结构authrequired + errorMessage）。

在这一步，一切正常。

实际上，问题在于，第一个处理程序（handlerLogin）捕获了这个错误，而它应该是第二个处理程序（handlerCalendar）。

鉴于它被 handlerLogin 捕获，isCustomResponse 和 handlechallenge 被调用，我没有预期的结果！我不知道为什么。

为什么它没有被 handlerCalendar 捕获？

我验证了我的代码、变量名、文件等。一切正常。

有关信息，我首先在 CalendarLogin 之前声明了 handlerLogin。

你有什么想法，建议吗？？

先感谢您

这是我的场景的概括：客户端应用程序的用户在受到安全挑战时，可以选择使用多种方法进行身份验证，每种方法都作为参数不同（以及在更复杂的场景中调用的后端系统）。

例如：
- 选择 A 使用 (id, pwd)
- 选择 B 使用 (name, cellnum, token)
- 选择 C ​​使用 (platenumber)

我正在考虑一个可能的第一个解决方案，其中定义不同的类似“submitAuthentication”的后端过程，每个后端过程都有不同的签名，客户端根据用户的选择调用。

可能的第二种解决方案（我真的不喜欢），有一个类似“submitAuthentication”的后端过程，其中第一个参数确定选择的类型，随后的参数将映射到预期的参数上。

是否有一些指导方针可以实现这一点？

谢谢。

Worklight 6.1，在 Mac 上的 WL Studio 中进行测试。

作为这个关于在 Worklight Server 中进行后台工作的问题的后续，可接受的答案是使用事件源。

问题涉及使用哪种安全测试。无论我尝试什么，我都会收到此错误：

适配器部署失败： Wrapped java.lang.ClassCastException: org.mozilla.javascript.gen._ (... elisions ...) _chmSecurityService_impl_js_83 cannot be cast to java.lang.String (/integration.js#258)

参考这个问题

我已经使用了这个安全测试：

请提示...