RESTful PUT和黑客入侵的URL

Question

我在學習RESTful接口。要更新服務器資源，說與（ID = 1）跟我說的那樣：

PUT /contact/1 

現在假設當前用戶所屬組織1，擁有聯繫人1.還有組織2，與聯繫人2聯繫。當前用戶不屬於組織2，並且沒有權利。如果用戶攻擊網頁（使用Firebug for Mozilla或針對MSIE的「F12調試器」），並將網頁請求更改爲指向/ contact/2，瀏覽器將快樂地提交請求。

我的服務器必須防止這種跨組織攻擊。在我當前的網站設計中，一旦用戶登錄，我會在會話中存儲一個數據對象（我正在使用Tomcat/Java）。該對象存儲用戶屬於哪個組織。安全檢查代碼將組織傳回的PUT請求與用戶所屬的組織進行比較，並查看傳回的數據是否屬於用戶的組織。在檢測到黑客（組織1的用戶試圖修改屬於組織2的聯繫人2）時，會向瀏覽器返回錯誤。

據我所知，REST應該是無狀態的，但我目前正在使用某種狀態。然而，如果我將用戶信息傳遞到網頁中，我認爲這也可以通過Firebug et.al侵入。

如何在不調用服務器狀態的情況下實現這種安全性？

謝謝， 傑羅姆。

Answer 1

RESTful服務通常是無狀態的。 這意味着每個請求都必須使用apikey或其他方法進行驗證。

所以請求將是/path?apikey=MYKEY並且服務器將處理該apikey的權限。

順便說一句，我也嘗試了有狀態的休息服務，並且服務器能夠通過在登錄期間初始化的cookie瞭解會話（但這不是真正的RESTful）。

如果您想嘗試，捲曲做這樣的事情：

curl -c cookie.txt -d "user=username&password=pass" "my.login.path" 
curl -b cookie.txt "do.something"