从 WebSphere Application Server 到另一台服务器的 REST 调用是否可见?
Are REST calls from WebSphere Application Server to another server visible?
假设我是 运行 WebSphere Application Server 上的一个应用程序,在某些 Java class 中,它通过提供客户端和客户端密钥来接收一个 REST 调用OAuth2 的刷新令牌,稍后在某个时候,它还会通过提供刷新令牌来接收访问令牌来进行 REST 调用。
源代码显然无法通过这些值进行调试和检查,但我的问题是这些 REST 调用中传递的值(即客户端机密和刷新令牌)和响应 ( access token) 被有权访问机器 运行 服务器的人查看?
我问的原因是我正在考虑将这些不变的值(客户端 ID、客户端密码、刷新令牌)存储在某个地方,除了通过 JDBC 中的连接之外,任何人都无法查看它们=20=] 代码,我计划将这些值用于某处服务器的身份验证目的。我不希望使用此应用程序的人能够查看这些值,因为如果他们可以,他们可以通过访问服务器上的其他 public API 来造成一些损害。
我打算只让 Java 代码(后端)与服务器进行交互以进行身份验证和获取一些资源,但我不想让有权访问此机器的人(但不有权访问这些值的存储位置)以查看 REST 请求和响应的详细信息。
谢谢。
不清楚您在各个地方指的是哪个服务器。
如果您从 WebSphere 服务器向第二台服务器发出出站 HTTPS 请求,则必须假设该请求和响应的所有详细信息对 both[=17 上的软件操作员可见=] 双方。
任何一方都可以追踪自己的所有输入和输出。
假设我是 运行 WebSphere Application Server 上的一个应用程序,在某些 Java class 中,它通过提供客户端和客户端密钥来接收一个 REST 调用OAuth2 的刷新令牌,稍后在某个时候,它还会通过提供刷新令牌来接收访问令牌来进行 REST 调用。
源代码显然无法通过这些值进行调试和检查,但我的问题是这些 REST 调用中传递的值(即客户端机密和刷新令牌)和响应 ( access token) 被有权访问机器 运行 服务器的人查看?
我问的原因是我正在考虑将这些不变的值(客户端 ID、客户端密码、刷新令牌)存储在某个地方,除了通过 JDBC 中的连接之外,任何人都无法查看它们=20=] 代码,我计划将这些值用于某处服务器的身份验证目的。我不希望使用此应用程序的人能够查看这些值,因为如果他们可以,他们可以通过访问服务器上的其他 public API 来造成一些损害。
我打算只让 Java 代码(后端)与服务器进行交互以进行身份验证和获取一些资源,但我不想让有权访问此机器的人(但不有权访问这些值的存储位置)以查看 REST 请求和响应的详细信息。
谢谢。
不清楚您在各个地方指的是哪个服务器。
如果您从 WebSphere 服务器向第二台服务器发出出站 HTTPS 请求,则必须假设该请求和响应的所有详细信息对 both[=17 上的软件操作员可见=] 双方。
任何一方都可以追踪自己的所有输入和输出。