Проблема безопасности: для REST URL и статических HTML

Question

У меня есть такой дизайн:

• Есть основная часть, которая запускает Spring на REST.

• Есть еще одна часть, которая имеет сервер Tomcat и содержит только HTML-файлы (не jsp или что-либо еще). Поэтому, если я хочу изменить страницу на стороне tomcat, нет необходимостиПерезапустите приложение, также дизайн и часть кода разделены.Давайте примем, что я перечисляю пользователей на моей веб-стороне (сторона кота).Тогда моя веб-сторона делает запрос GET, а ответ приходит в виде JSON.PUT, DELETE и POST происходит по одной и той же методологии.

У меня на данный момент 2 проблемы с безопасностью.

Первый , Когда пользователь хочет увидеть URL на стороне сервера, как я буду проверять авторизацию и аутентификацию?И как я могу ограничить полномочия уполномоченного лица для получения моей веб-страницы с помощью слишком wget?

Second , Как я могу скрыть свои REST URL.Например, если пользователь отлаживает мой код JavaScript, он / она увидит, что я делаю запрос DELETE на URL с некоторыми параметрами, поэтому он / она попытается сделать то же самое (или может сделать тысячи запросов GET на мой главный сервер, еслиузнает URL)

Спасибо за советы.

Answer 1

Во-первых, почему вы используете Tomcat для обслуживания статических файлов?Я бы выбрал следующий подход:

• использовать статический сервер для обслуживания статических файлов (apache, lighttpd, nginx).
  • Этот сервер будет выполнять authN и authZ (используя каталог LDAP, например, или любой другой подходящий auth backend).
  • AuthN выполняется с использованием таких схем, как Http Basic + SSL, Http Digest, WebID,...

Это решение вашей первой проблемы

• Настройте статический сервер для обратного прокси-сервера вашего приложения и используйте те же правила аутентификации.

URI не являются «скрытыми», но они больше никому не доступны.Поскольку пользователь уже прошел аутентификацию на статической странице, не требуется авторизация для запроса «rest uri».