Webトークンのセキュリティに慣れていないので、これまでに運が必要ないシナリオを実装しようとしています。私は多くのチュートリアルとコード例とプロジェクトを見てきましたが、あまりに進んでいるだけで、コードの塊であるだけで、このコードは生産目的ではなく目的を学習するためのものです。Java EeでJWTでRESTサービスをセキュリティで保護する
私の要件は次のとおりです。
私は、複数の外ディーラーのWebアプリケーションによって呼び出される必要がある3つのサービスがあります。
私たちのアプリにディーラーのアプリからの呼び出しを確保する必要があります。私たちは通信にSSLを使用します。
私はJava eeでJBOSS EAP7を使用しています.JWTの実装(jjwtなど)を使用する予定です。
私がオンラインで見つけた典型的なシナリオは、クライアントアプリケーションがまずアプリケーションIDと秘密(文字列)パスコードを渡してJWTトークンを取得する認証サービスを呼び出していることです。この後、アプリケーションは3つのサービスを呼び出すたびにこのトークンを渡し、各リクエストを尊重する前に検証する必要があります。
私の質問は、以下の通りである:
- アプリは、トークンを取得するために呼び出すことが私たちが提供する公開鍵で暗号化し、この要求を渡す必要がないか、私たちはSSLを使用しているので、必要がない場合には? 秘密鍵/公開鍵を使用する必要がある場合は、Javaを使用して鍵を生成する方法と、要求を暗号化/復号化する方法を示す簡単な良い例はありますか?
トークン生成。トークン自体を送信する前に暗号化する必要があるかどうかはわかりません。いくつかのサイトではBase64暗号化を使用しています。また、秘密鍵で署名を暗号化する方法もあります。私はJWSとJWEのコンセプトについて混乱しています。トークンを安全に生成する方法を教えてくれる良い例やチュートリアルはありますか?
このようなシナリオでは、JWTトークンの一般的な有効期限は何ですか?サービスコールを行うたびに新しいトークンを呼び出して取得する必要がありますか?トークンに有効期限がある場合、クライアントアプリケーションは、再度呼び出す前に期限切れかどうかを確認する必要がありますか、サービスがエラーを返すまで待ちますか?
リクエストでトークンを渡す方法と、サーバー上でトークンを検証する方法を示す簡単な例がありますか?
クライアントアプリケーションは、トークンを再利用できる場合はクッキーまたはセッションに保存する必要がありますか?
あなたはリクエストが実際に信頼できるアプリから来ないことを検証するために、アプリの公開鍵を使用することができますので、PKIを使用して