トークンベースの認証セキュリティについて

8

認証済みサービスをトークンで読み取っています。ユーザーがarcgisサービスを使用するにはトークンを取得する必要があることを理解しています。例:https : //domain.com/arcgis/rest/services/myMap/MapServerは私のサービスです。サーバー管理者がこのようなトークンをくれました。トークン= AJSJK876548sjjs7

そして、私はこのhttps://domain.com/arcgis/rest/services/myMap/MapServer?token=AJSJK876548sjjs7のような私のjavascript apiでこのサービスを使用しました

ユーザーはブラウザーからアプリケーションソースを表示し、トークンを取得できます。そして彼/彼女は私のサービスにアクセスできます。これはセキュリティ上の問題ですか?

arcgis-server  javascript  arcgis-javascript-api  security 
Barteloma
ソース

回答:

8

はい、セキュリティ上の問題です。

一般的な解決策は、プロキシ(クライアントが呼び出すことができるサービスを記述し、次にエンドポイントを呼び出す)を経由することです。クライアントは、トークンを除くすべての引数を使用してサービスを呼び出します。サービスは、渡されたすべての引数をコピーし、トークンを追加し、エンドポイントを呼び出し、クライアントに応答を返します。

ISCのラッセル
ソース
2
このアプローチでは、プロキシを保護する責任は開発者にあることに注意することが重要です。結局のところ、ユーザーは単にアプリケーションのふりをして、基になるサービスから間接的に情報を返すようプロキシに要求することができます。結局のところ、セキュリティは、承認されたユーザーが最終的に生データにアクセスできることを考慮に入れる必要があります。許可されたユーザーがアクセスできるデータを制限する必要がある場合は、プロキシで制限するロジックを追加する必要があります。
フィリップ
良い点、フィリップ。
ラッセル、ISC 2013年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.