Zabezpieczenie REST (w wydaniu JS2EE)   Leave a comment

Nawiązując do artykuły z SDN Oracle – http://developers.sun.com/identity/reference/techart/restwebservices.html – “Securing REST Web Services with OAuth” (Malla Simhachalam, with contributions from Rick Palkovic, August 2009) można zauważyć potrzebą zabezpieczenia protokołu REST. Najpopularniejsze rozwiązania to zabezpieczenie na poziomie transportowym (Transport-level Security tzw. TLS/SSL) ale wymaga on podania konta/hasła użytkownika lub innej delegacji jego tożsamości. Nie jest to bezpieczne, ponieważ użytkownik odkrywa serwisowy swoje poświadczenia. Dlatego stosuje się otwarty protokół OAuth (OAuth website) i pozwala użytkownikowi (service consumer) na bezpieczny (sprawdzany przez stronę trzecią) dostęp do serwera (service provider) bez konieczności ujawniania swoich poświadczeń.  A tak realnie to wykorzystywane są dwie biblioteki:

  • Project Jersey (implementacja specyfikacji JAX-RS (JSR 311 API) for REST web services) wraz z rozszerzeniami OAuth,
  • OpenSSO – implementacja SUN tzw. identity access management for the enterprise

To wszystko “chodzi” na serwerze aplikacyjnym Glassfish i bazie Derby (ta służy do przechowywania żetonów identyfikacyjnych)

REST-Based Web Service Deployment Architecture

Źródło: http://developers.sun.com/identity/reference/techart/restwebservices.html

Posted 9 Maj 2012 by marekwmsdn in Java, REST, WCF, WS

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: