モバイルアプリケーションで使用するためのGrails RESTサービスのセキュリティ

Question

モバイルアプリケーションでRESTサービスを使用するための調査に忙しく、いくつかの洞察に感謝します。シナリオは次のとおりです。

ユーザーにサービスを提供するWebアプリケーションを考えてみましょう。 Webアプリケーションは、ユーザーの主要な対話ポイントにもなります。これはGrailsで行われ、Spring Securityで保護されます。

ここでは、ユーザーがモバイルアプリケーション経由でサービスを使用できるように、RESTサービスを提供したいと考えています。 Grailsは既存のWebアプリケーションをRESTfulにするための優れたサポートを持っているので、Grailsの組み込みのGrailsサポートを使用します。

ここで私の質問は、モバイルアプリケーション（native-OS、Andriod、WM7、BB）から使用できるように、RESTサービスインターフェイスを保護する "最良の"方法は何でしょうか。

交換される情報は非常に機密性が高いため、より安全です。私たちは3で私たちのGrailsプロジェクトを分割することを決め

おかげ

Answer 1

...

• モデル・ドメイン・プロジェクト（これは、すべてのビュー/コントローラ足場と「管理」セクションで、すべてのサービス、ドメイン）
• ウェブアプリ（これでメインのアプリケーション、コントローラ、ビュー）
• API-残りアプリ（これは残りのコントローラである）

model-domain-projectは、web-appとapi-appにプラグインされ、ドメインモデル、サービス、データベースセキュリティ、トランザクションなどを含むプラグインです。

web-appすべてのhtmlテンプレート、ビュー、コントローラです。ここではSpring Securityの属性を使用しています

api-rest-appはgrails-filtersを使用していますが、https経由でBasic-Authorizationを使用しています日付...

トークンの有効期限に達した場合は、最初のトークンを送信した「リクエストトークン」を持つ別のトークンを要求する必要があります（これは多かれ少なかれ2つの最初のトークンを取得するためにIKEのOAuth2）

、ユーザー/電話/パスワードを使ってログインを介してデバイスを確認する必要があります、あなたは、あなたがアプリで

を入力する必要がありますSMS経由で鍵を受け取ります...