Worklight 是否提供了处理请求和响应参数的安全机制?
Is Worklight giving secure mechanism for handling request and response Parameters?
我正在使用 IBM Worklight Studio 6.1.0.02-20160314-1430
它的混合应用程序。
在应用程序中执行 inspect(Network-->query) 时,应用程序和适配器调用之间的请求和响应数据清晰可见。还可以通过使用第三方工具(如 Charles)中断 Worklight 应用程序来编辑请求或响应参数。在应用程序中实现了 SSL 固定,但一些 SSL 固定也可以破解,因为许多工具已经在网上可用。 Worklight 是否为在适配器和应用程序之间通信的请求和响应参数提供任何加密-解密机制。
目前我尝试从应用程序端添加自定义加密并在适配器端为请求参数添加自定义解密。这是一个非常繁琐的过程,因为我的应用程序有数百个过程。请让我知道我可以实施的任何集中式安全性,以便请求和响应在应用程序和 Worklight 服务器之间的任何地方都不可见,即使有人也进行了检查。
当您通过诸如 Charles 之类的代理重定向您的流量时,预计会看到纯文本通信。在这种情况下,您通过接受 Charles 颁发的证书来配置设置,并修改您的应用程序以通过 Charles 直接通信。如果您尝试嗅探正在进行的 SSL 流量,您将看不到纯文本数据。
也就是说,从 MFP 7.1 开始,证书固定功能开箱即用。证书固定是在对服务器进行任何调用之前完成的,因此您的所有通信都可以得到保护。
您似乎已经采用了另一种方法,即在客户端加密参数,然后在服务器上解密。如果您有许多适配器调用,您可以使用一个方法来生成加密内容,并且所有适配器调用参数都可以通过此方法传递。
我正在使用 IBM Worklight Studio 6.1.0.02-20160314-1430
它的混合应用程序。
在应用程序中执行 inspect(Network-->query) 时,应用程序和适配器调用之间的请求和响应数据清晰可见。还可以通过使用第三方工具(如 Charles)中断 Worklight 应用程序来编辑请求或响应参数。在应用程序中实现了 SSL 固定,但一些 SSL 固定也可以破解,因为许多工具已经在网上可用。 Worklight 是否为在适配器和应用程序之间通信的请求和响应参数提供任何加密-解密机制。
目前我尝试从应用程序端添加自定义加密并在适配器端为请求参数添加自定义解密。这是一个非常繁琐的过程,因为我的应用程序有数百个过程。请让我知道我可以实施的任何集中式安全性,以便请求和响应在应用程序和 Worklight 服务器之间的任何地方都不可见,即使有人也进行了检查。
当您通过诸如 Charles 之类的代理重定向您的流量时,预计会看到纯文本通信。在这种情况下,您通过接受 Charles 颁发的证书来配置设置,并修改您的应用程序以通过 Charles 直接通信。如果您尝试嗅探正在进行的 SSL 流量,您将看不到纯文本数据。
也就是说,从 MFP 7.1 开始,证书固定功能开箱即用。证书固定是在对服务器进行任何调用之前完成的,因此您的所有通信都可以得到保护。 您似乎已经采用了另一种方法,即在客户端加密参数,然后在服务器上解密。如果您有许多适配器调用,您可以使用一个方法来生成加密内容,并且所有适配器调用参数都可以通过此方法传递。