我有一个简单的 Java 工具,用于调用 App Engine 上的 Web 服务,以帮助我进行维护和管理。我目前通过仅允许使用 web.xml 文件进行管理员访问来保护页面,
<security-constraint>
<web-resource-collection>
<web-resource-name>xxxxxx</web-resource-name>
<url-pattern>/xxxxxx</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
当浏览器通过身份验证过程进行调用时,这很好,但如果我想使用 Java 客户端访问页面,我的方法应该是什么?
最佳答案
通常,您的每个请求都必须包含允许其执行的凭据。所有没有此类凭据的请求都会被拒绝。
以最简单的形式,您可以在请求中包含一个客户端 secret (一个很难猜测的长随机字符串)。您的代码将包含此 secret ,而来自外部的请求不会知道包含它。
要获得更安全/稳健的实现,您可以查看 existing library ,但对于一个简单的工具来说可能太多了。
关于java - 从 Java 客户端连接到 App Engine 上的管理员安全 Web 服务,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34092769/