it-swarm-ja.com

RESTセッションをアプリケーションの他の部分のセッションから分離する必要がありますか?

WebアプリケーションとREST API)でユーザー名とパスワードのログインを使用してアクセスを制限するリソースがあると仮定します。両方で異なるセッションを維持する必要があります。つまり、WebUIを介したログインではt RESTおよびその逆)を介してアクセス可能なリソースへのアクセスを許可しますか?ユーザー名とパスワードの組み合わせは同じになります。

Afaik 1回のログインで両方へのアクセスを許可した場合でも、高度なREST認証方法( [〜#〜] hmac [〜#〜] など)を適用できます。 =、少なくともログインがRESTを介して行われる場合。

具体的なアプリケーションは、Java EEテクニック、特にJava JSFセッションとRESTセッションを意図的に分離するServerFaces)で実装されます。ただし、意図せずに 分離を簡単に克服することは可能です

1
Karl Richter

それを分離しておくか、少なくともエージェントがCookieを保持していることに基づいてRESTを信頼しないでください。

Web UIを介して付与されたログインCookieにRESTAPIの安全でないhttpメソッドへのアクセスを許可することを許可すると、REST APIにCSRFに対する防御が含まれていない限り、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が作成されます。

1
bdsl