在Extjs/Java應用程序上實現安全性的最佳實踐

Question

因此，我在私有服務器和網絡上部署了ExtJs/Java應用程序，並且不需要實現安全性，但現在我已被請求在雲上部署該應用程序，選擇OpenShift（紅帽雲）到目前爲止這麼好...但我一直想知道如何實現安全性...我曾經使用Spring安全核心（使用Grails），但我的應用程序數據庫是CouchDB（實際上使用CloudAnt服務），它似乎並不容易或自然地連接它...

你會推薦什麼？

現在我已經讓我們說http:re-hat-something-else/myapp/mybussinesinterface.html我不想顯示，除非你登錄，所以可以說我已經有mylogin.html和可以說我已經有一個驗證用戶身份的業務方法，這將是正確的存儲在本地存儲一個令牌，告訴我，如果用戶通過登錄頁面來驗證，如果有人試圖直接打開http:re-hat-something-else/myapp/mybussinesinterface.html

當然，我也必須增加額外的安全性，以我所有的後端方法來驗證沒有人試圖直接執行它們...

任何想法？

在此先感謝

Answer 1

一般來說，它是服務器的工作，以保護其內容免受未經授權的用戶。如果JavaScript提供給未經授權的客戶端，則所有投注都將關閉。 Java REST API也一樣：如果它暴露給未經授權的客戶端，則所有投注都將關閉。顯然，服務器需要保護Java和JavaScript資源。

你正在某種容器（Tomcat，JBoss等）中運行你的應用程序。您提出的問題最好通過在容器級別實施某種安全性來解決。例如，如果您在JBoss上使用shiro，就像實施一個servlet過濾器一樣簡單，該過濾器會拒絕未經授權的用戶訪問您的應用程序。我相信你可以用Tomcat做類似的事情。

哦，並確保你知道「授權」和「驗證」之間的區別。有可能，沒有人真正理解它，你需要向他們解釋。 （如果他們確實瞭解差異，那麼請算你自己的幸運。）