1. Accueil
  2. Question et réponse
  3. Recherche de l'hôte hôte du serveur demandé?

Recherche de l'hôte hôte du serveur demandé?

2012-10-15 2 views
1

J'ai une application (application client) hébergée sur un serveur Tomcat et cette application doit être intégrée en tant qu'onglet dans une autre application (application parente). Dans l'application Parent, l'authentification de l'utilisateur est terminée. Dans l'application Parent Html, nous utilisons iframe pour intégrer le client. Tout fonctionne bien sauf cela. Le problème est que si quelqu'un connaît l'URL, il peut accéder à l'application cliente. Comment pouvons-nous éviter cela? Nous utilisons JAVA, SERVLET, HTML, Tomacat comme technologies.Recherche de l'hôte hôte du serveur demandé?

Merci :)

Source

2012-10-15 Akshay

Répondre

1

L'une des solutions possibles est l'authentification par jeton. L'application parente doit ajouter un jeton spécial en tant que paramètre d'URL ou en-tête HTTP. Le jeton doit contenir des informations d'authentification sous forme cryptée. L'application "Client" doit extraire les informations et décider si l'authentification a réussi ou échoué. Afin de garantir que personne ne peut copier ce jeton et obtenir un accès non authentifié à votre application, vous devez rendre le jeton unique ou limité dans le temps.

Source

2012-10-15 09:48:28 AlexR

+0

Salut Comment pouvons-nous réaliser cette authentification basée sur le token? Pouvez-vous m'expliquer .... :) – Akshay

0

Depuis l'application parent ajouter cookies et de l'application de l'enfant obtenir que cookies et valider l'utilisateur. (Si les deux sont en cours d'exécution sur le même domaine).

Source

2012-10-15 10:00:11

1

Vous pouvez également utiliser des options de cadres dans votre en-tête. J'ai trouvé cet article avec quelques recherches rapides: http://www.jtmelton.com/tag/x-frame-options/

Cela empêchera votre application de se charger dans les cadres, sauf pour les domaines auxquels vous autorisez. Vous pourriez vérifier dans la compatibilité du navigateur, je ne suis pas sûr quand cela a été mis en œuvre dans différents navigateurs.

En outre, vous pouvez vérifier les champs d'en-tête «hôte» et «référant» pour vérifier que les demandes proviennent d'un domaine auquel vous faites confiance avant d'envoyer une réponse.

OAuth est la norme pour l'autorisation d'applications tierces. Vous devriez vérifier cela comme une approche d'authentification.

Aucun de ceux-ci ne vous donnera une application complètement sécurisée. Vous devriez envisager de consulter un expert en sécurité.

Source

2012-10-15 10:13:23 ShadeTreeDeveloper

Questions connexes

 Questions connexes