都要進行兩個系統之間的集成安全使用Web服務

Question

我有兩個應用程序之一是業務流程管理（BPM）&另一種是文檔管理系統（DMS），這兩個系統公開的Web服務，以使其他系統的集成。兩個系統均提供主登錄用戶名和密碼以提供JSON API身份驗證。例如在BPM內部啓動一個進程（「process1」）; DMS可以發送以下API調用

/jw/web/json/workflow/process/start/process1?master_username=BPMadmin&master_password=982716171717&loginAS=currentusername 

和同樣適用於調用DMS Web服務。

本安全方法的侷限是，我無法調用任何DMS或使用JavaScript的BPM的Web服務，並使用javascript返回的JSON，因爲如果我按照JavaScript方式我會消耗是露出master_username & MASTER_PASSWORD到最終用戶，他們可以手動修改LoginAs參數到其他的用戶名和執行他們無權做的動作。

所以我的問題是： -

1. 我可以讓Web服務調用的安全使用JavaScript？

2. 什麼其他安全方法我可以按照撥打電話的安全使用JavaScript的Web服務

   秒問題？考慮到我可以將網絡服務安全性修改爲其他方法，而不是使用主登錄用戶名和密碼，但是這可能需要我更多的時間和精力。

預先感謝任何幫助 問候

Answer 1

所有的JS首先是客戶端，並且不包含任何特殊的安全/魔法/不可逆轉的功能，如瀏覽器輔助加密引擎，高篦SPRNG爲密鑰生成等等。長久以來，任何與js有關的事情都是不安全的，它可能會被混淆，但它不會安全。這是你已經提出的觀點。另一種方法是將您的服務器用作「代理」。因此，可以說你正在設計一個JS輔助圖形用戶界面，並顯示一些文件RO是這樣，那麼你做一個Ajax請求你的應用服務器（不BPM也不DMS），並將其作爲代理，將做認證對DMS和調用WS，然後將結果返回給你的JS :)所以你的設置看起來像JS（會話） - >應用程序（ws auth） - > DMS - >應用程序（sesion） - > JS（我假設你已驗證用戶，我們將使用用戶會話JS < - >服務器的安全通道，如果不是你將不得不加入一些其他的js身份驗證機制可能一次通過或東西，但它會很容易，因爲它是你的系統）。瞧。只有安全考慮是不允許任何人打電話給你的服務器代理網站:)