안전하지 않은 페이지에서 JavaScript로 REST 호출 보안하기

Question

우리는 최종 사용자가 로그인 할 것을 요구하지 않는 웹 기반 응용 프로그램을 가지고 있습니다. 애플리케이션은 Ajax를 사용하여 동일한 서버에서 호스팅되는 REST 서비스를 호출한다. 이 응용 프로그램 외에도 다른 응용 프로그램/에이전트가 REST 서비스를 호출하면 거부 될 수 있습니다.

이렇게 REST API를 보호하는 가장 간단한 방법은 무엇입니까? 내 생각 엔 일종의 보안 토큰을 포함하고 HTTPS를 통해 전화를 걸 것이라고 생각합니다. 그러나 Ajax 애플리케이션이 토큰을 생성/획득/암호화하는 방법과 일반적으로 라이프 사이클이 어떻게 생겼는지에 대해서는 분명하지 않습니다.

가능한 경우 봄 보안 또는 OAuth 외부에서이 작업을 수행합니다. 또한 SSL을 통해 사용자 이름과 암호를 보내는 것으로 인증에 충분하다는 사실을 읽었습니다. 이 경우 앱은 '사용자 이름'과 비밀번호를 가지며 REST 서비스에 요청할 때마다이를 전송합니다. 그러나 클라이언트가 브라우저에서 HTML과 자바 스크립트 인 경우 어떻게 정보를 비밀로 유지할 수 있습니까?

감사합니다.

Answer 1

일반적으로 이것은 불가능합니다. 누군가 당신의 자바 스크립트에서보기 소스를 할 수 있었고, 토큰을 읽고, 원하는대로 할 수있었습니다.

https가 필요하지 않습니다. 토큰의 경우 가장 쉬운 방법은 서버에서 자바 스크립트를 다운로드 할 때 쿠키를 설정하는 것입니다. 그런 다음 해당 쿠키도 AJAX 요청과 함께 전송됩니다.

이것은 실제로 안전하지 않습니다. 누구나 쿠키를보고 사용하면되지만, 할 수있는 최선의 방법입니다.