ユーザーの詳細を更新するWebサービスを保護します -- spring フィールド と web-services フィールド と rest フィールド と encryption フィールド と ws-security フィールド 関連 問題

Securing a web service that updates user details












0
vote

問題

日本語

Webサービス(POSTを使用)を使用すると、リクエスターはユーザーの詳細を更新できます。 Webサービスは更新されるユーザーのIDを受け入れます。

リクエストのIDをパラメータとしてAcctingすると思います。誰かが投稿要求を作成することができました 任意のユーザーのIDを挿入し、そのユーザーの詳細を更新します。

許容レベルを確保するために、ユーザーの詳細を更新できないことを確認するオプションは何ですか。ここは 私が考えていること:

現在はセキュリティフレームワークはありません。

  1. トランスポート層のユーザーSSL
  2. で要求を暗号化する
  3. ID自体だけを暗号化する
英語

The web service(using POST) allows the requester to update details of a user. The web service accepts the id of the user to be updated.

I think accpeting the id of the request as a parameter is risky. Someone could create a post request and insert the id of any user and update the details of that user.

To ensure to an acceptable level that user details cannot be updated what are the options. Here is what I think :

There is currently no security framework in place.

  1. encrypt the request at the transport layer user SSL
  2. encrypt just the id itself
</div
              
       
       

回答リスト

0
 
vote
vote
ベストアンサー
 

安全なトランスポートのために<コード> url13 を使用することは良いスタートです。

あなたはあなたの質問を「春」でタグ付けされていますので、セキュリティの枠組みがないので、 Spring Security 。

 

To use https for secure transport is a good start.

Since you have tagged your question with "spring" and there is no security framework in place, I would suggest you take a look at Spring Security, which integrates nicely with Spring.

</div
 
 

関連する質問

0  プロパティファイルなしのWS-Securityの設定(SignaturePropRefIDを使用したWSS4JinInterceptor)  ( Setting up ws security in mule without properties file wss4jininterceptor with ) 
CXFプロキシMuleプロジェクトでWS-Securityを設定するようにしています。私は現在プロパティファイルを使って作業していますが、プロパティファイルからいくつかの情報を取り出してデータベースに挿入してそこに保護することができるようにしてくださいが、そ...

2  KSOAP2を用いたOASIS WSセキュリティ仕様に従った複雑なSOAPエンベロープの生成?  ( Generation of complex soap envelope in accordance with oasis ws security specifi ) 
私はAndroidの開発に新しいです。 OASIS Webに従って設計されている.NET Webサービスを消費する必要があります。サービスセキュリティ仕様。 ksoAP2最新のAPIを使用してSOAPエンベロープを生成しています。下記の形式でSOAPリク...

1  WSO2 ESB DSS呼び出し前に応答でWS-Securityヘッダーを削除できません  ( Wso2 esb unable to remove ws security header in the response before dss call ) 
私は、WSセキュリティで卓越したサービスを呼び出す必要があるプロキシサービスを持っています。しなければならない サービスを呼び出して、応答に基づいて、情報を抽出する必要があります その後、データサービスを呼び出してデータベースを更新します。私は応答を受けてを創...

2  OpenAM WSSエージェントを使用してWebサービスセキュリティを有効にします  ( Enabling web service security with openam wss agent ) 
OpenamでWebサービスセキュリティを設定するのに苦労しています。 これは私がこれまでにしたことです: 私はOpenamのドキュメントを見上げましたが、私は何も見つけることができました Webサービスのセキュリティ実装の詳細を指摘する重要なもの。 ...

26  キーストアからキーを入手できません  ( Can not get key from keystore ) 
キーストアからキーを取得しようとします。 keytool:でキーストアを作成しました keytool -genkeypair -dname "cn = Mark Jones、OU = JavaSoft、O = Sun、C = US" - Alias Bu...

1  WSセキュリティレスポンスに関するSOAPヘッダー  ( Soap header on ws security response ) 
WSセキュリティ対応に義務が義務付けられていますか?もしそうなら、なぜ? 私のクライアントはサーバーの対応でSOAPヘッダーなし(実際には欠けている)について不適切であるため、疑問に思い、それを設定する方法はありません。 私は少し時代遅れの技術を使っています...

0  JBossでCXFでSOAPリクエストを処理する際のjava.lang.ClassNotFoundException  ( Java lang classnotfoundexception when handling soap request with cxf on jboss ) 
CXFで実装されたWebサービスを持っていて、JBoss 5.1で実行されています。 最近、CXFを2.3.1から2.5.9にアップグレードしました。 クライアントからのSOAP要求にX509証明書トークンが含まれているため、サービスにWS-Policyを追...

22  Javaから.NET Webサービス(WSE 2/3、WS-Security)を呼び出す  ( Calling net web service wse 2 3 ws security from java ) 
Javaから.NETで書かれたWebサービスを呼び出す必要があります。 WebサービスはWSセキュリティスタックを実装しています(WSE 2またはWSE 3のいずれかで、情報からは明確ではありません)。 サービスプロバイダから受信した情報には、WSDL、P...

10  JAX-WS WS-SecurityおよびWSアドレッシングを使用したWebサービスの消費  ( Jax ws consuming web service with ws security and ws addressing ) 
ユーザー名トークン認証(パスワードダイジェスト、ノンス、タイムスタンプ)とSSLを介したWSアドレッシングとともに、WS-Securityを使用しているJAX-WS(Metro)を持つスタンドアロンJava Webサービスクライアントを開発しようとしています。...

18  PHPのX.509証明書を使用してSOAP呼び出しをデジタル的にデジタルサインすることを試みる  ( Trying to digitally sign soap call with x 509 certificate in php ) 
PHPを使用してSOAP呼び出しを送受信しようとしているクライアントを操作しています。それらにはWS-Securityセットアップがあり、認証にはX.509証明書を使用してください。私はこれをSoapuiを使って作業するようにすることができました、しかし私は...




© 2022 cndgn.com All Rights Reserved. Q&Aハウス 全著作権所有