Cómo proteger un servicio web REST en Java EE 6

Question

He creado una aplicación web con Java EE 6 (utilizando implementaciones de referencia) y quiero exponerla como un servicio web REST.

El fondo es que quiero ser capaz de recuperar datos de la aplicación web a una aplicación de iOS que hice. La pregunta es ¿cómo puedo asegurar la aplicación? Solo quiero que mi aplicación use el servicio web. ¿Es eso posible y cómo podría hacer esto? Solo necesito saber qué debo buscar y leer, y no el código real.

Answer 1

Desafortunadamente su servicio web nunca será completamente segura pero aquí están algunas de las cosas básicas que puede hacer:

• Usar SSL
• Wrap todo su (app) cargas útiles de salida en POST solicitudes. Esto evitará que el espionaje casual descubra cómo funciona su servicio web (para poder realizar una ingeniería inversa del protocolo).
• Valide de alguna manera a los usuarios de su aplicación. Idealmente, esto involucrará a OAUTH, por ejemplo, usando credenciales de Google, pero se entiende la idea.

Ahora voy a señalar por qué esto no se sea completamente segura:

• Si alguien obtiene una suspensión de su aplicación y la ingeniería inversa, todo lo que acaba de hacer está fuera de la ventana. Lo único que se mantendrá es su validación usuario.
• Incrustar un certificado de cliente (como han señalado otras personas) no hace nada para ayudarlo en este escenario. Si solo reinvierto el desarrollo de su aplicación, también tengo su certificado de cliente.

Lo puede hacer usted?

• Valida las cuentas en tu back-end y supervisa el uso anómalo.

Por supuesto, todo esto se va por la ventana cuando alguien viene, realiza una ingeniería inversa de su aplicación, construye otra para imitarla, y usted (generalmente) no sabría nada mejor. Todos estos son solo puntos a tener en cuenta.

Editar: Además, si no era ya evidente, utilizar POST (o GET) las solicitudes de todos los consultas de la aplicación (en su servidor). Esto, combinado con SSL, debería frustrar a tus fisgones casuales.

Edit2: Parece como si estoy re mal: POST siendo más seguras que las GET. This respuesta fue bastante útil al señalar eso. Así que supongo que puede usar GET o POST de manera intercambiable aquí.

Answer 2

Depende de qué tan seguro lo desee.

• Si no te importa, solo inserta una palabra secreta en tu aplicación e inclúyela en todas las solicitudes.
• Si te importa un poco más haz lo anterior y solo expone el servicio a través de https.
• Si desea que sea seguro, emita un certificado de cliente para su aplicación y solicite que un certificado de cliente válido esté presente cuando se acceda al servicio.

Answer 3

Cree una regla en la máquina que aloja su servicio web para permitir que su aplicación solo acceda a través de algún puerto. En Amazon EC2, esto se hace creando una regla en el Grupo de seguridad de la instancia.

Answer 4

mis sugerencias son:

1. uso https en lugar de http. hay certificado ssl libre disponible, obtener uno e instalarlo.
2. utilizan una ruta de acceso compleja como 4324234AA_fdfsaf/como el punto final raíz.

debido a la naturaleza de protocolo http, la parte de la trayectoria es cifrado en la solicitud https. por lo tanto, es muy seguro. hay formas de descifrar la solicitud a través del ataque man-in-the-middle, pero requiere un control total sobre el dispositivo cliente, incluido la instalación de un certificado ilegal ssl. pero, pasaría más tiempo en mi aplicación para que tenga éxito.

Answer 5

Hemos utilizado RestEasy como parte de la protección de nuestros servicios web RESTful expuestos. Debería haber mucho ejemplo por ahí, pero este es el que podría ayudarlo a comenzar.

http://howtodoinjava.com/2013/06/26/jax-rs-resteasy-basic-authentication-and-authorization-tutorial/

También puede utilizar OAUTH:

http://oltu.apache.org/index.html