1. ホーム
  2. 質問と答え
  3. MFP 8.0の認可ベアラが多すぎます

MFP 8.0の認可ベアラが多すぎます

2016-11-28 8 views
1

私はhttps://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/8.0/authentication-and-security/protecting-external-resources/の手順に従って、外部リソースを保護しており、https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/8.0/application-development/resource-request/javascript/はCordova経由で電話しています。MFP 8.0の認可ベアラが多すぎます

私は2つの同じRESTメソッドを要求していますが、これはスコープ "aovLogin"で保護されています。

すべてのコールで新しいベアラトークンが生成されているようですが、これはMFPに対して4回の追加コールが必要です。

また、メソッドが初めて呼び出されたときに、いくつかの追加呼び出しが行われます(常にhttp:401、次に403:200、途中でMFPを追加呼び出し)。非常にきめ細かなAPIを持っていると、余分な呼び出しがたくさんあります。

サーバーAPIにはベアラー用のキャッシュがあり、有効範囲は10分間有効であることがわかりました。

クライアントが非常に多くの認証要求を送信するのはなぜですか?

POST /com.costaisa.app.api/api/mfprest/delegation/detail/private HTTP/1.1 

HTTP/1.1 401 Unauthorized 

---------- 

POST /mfp/api/preauth/v1/preauthorize HTTP/1.1 
{"scope":"","client_id":"3deccec7-3f18-4ee2-8464-de90a7c64685"} 

HTTP/1.1 400 Bad Request 
{"errorCode":"INVALID_CLIENT_ID","errorMsg":"Invalid client ID."} 

------ 

POST /mfp/api/registration/v1/self HTTP/1.1 
{"signedRegistrationData":{"header":"XXXXX","payload":"XXXXX","signature":"XXXXX"}} 

HTTP/1.1 201 Created 

----- 

POST /mfp/api/preauth/v1/preauthorize HTTP/1.1 
{"scope":"","client_id":"84c45e4a-b75d-4125-ab9a-98f390d5bd3a"} 

HTTP/1.1 200 OK 
{"successes":{"clockSynchronization":{"serverTimeStamp":1480322130967}}} 

-------- 

GET /mfp/api/az/v1/authorization?response_type=code&scope=&client_id=84c45e4a-b75d-4125-ab9a-98f390d5bd3a&redirect_uri=http://mfpredirecturi&isAjaxRequest=true&x=0.1757133661526875 HTTP/1.1 

HTTP/1.1 302 Found 

------ 

POST /mfp/api/az/v1/token HTTP/1.1 
XXXXX 

HTTP/1.1 200 OK 
{"access_token":"XXXXX","token_type":"Bearer","expires_in":3599,"scope":""} 

--- 

POST /com.costaisa.app.api/api/mfprest/delegation/detail/private HTTP/1.1 
Authorization: Bearer XXXXX 
{"idDelegation":"0801"} 

HTTP/1.1 403 Forbidden 

--- 

POST /mfp/api/preauth/v1/preauthorize HTTP/1.1 
{"scope":"aovLogin","client_id":"84c45e4a-b75d-4125-ab9a-98f390d5bd3a"} 

HTTP/1.1 401 Unauthorized 
{"successes":{"clockSynchronization":{"serverTimeStamp":1480322131320}},"challenges":{"aovLogin":{"remainingAttempts":5,"errorMsg":null}}} 

--- 

POST /mfp/api/preauth/v1/preauthorize HTTP/1.1 
{"challengeResponse":{"aovLogin":{"username":"XXXXX","tokenSEA":"XXXXX"}},"scope":"aovLogin","client_id":"84c45e4a-b75d-4125-ab9a-98f390d5bd3a"} 

HTTP/1.1 200 OK 
{"successes":{"aovLogin":{"user":{"id":"XXXXX","displayName":"XXXXX","authenticatedAt":1480322139874,"authenticatedBy":"aovLogin","attributes":{"tokenSEA":"XXXXX"}}},"clockSynchronization":{"serverTimeStamp":1480322139874}}} 


-------- 

GET /mfp/api/az/v1/authorization?response_type=code&scope=aovLogin&client_id=84c45e4a-b75d-4125-ab9a-98f390d5bd3a&redirect_uri=http://mfpredirecturi&isAjaxRequest=true&x=0.5223292209780417 HTTP/1.1 

HTTP/1.1 302 Found 

--- 

POST /mfp/api/az/v1/token HTTP/1.1 
XXXXX 

HTTP/1.1 200 OK 


{"access_token":"XXXXX","token_type":"Bearer","expires_in":599,"scope":"aovLogin"} 


--- 

POST /com.costaisa.app.api/api/mfprest/delegation/detail/private HTTP/1.1 
Authorization: Bearer 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.eyJpc3MiOiJjb20uaWJtLm1mcCIsInN1YiI6Ijg0YzQ1ZTRhLWI3NWQtNDEyNS1hYjlhLTk4ZjM5MGQ1YmQzYSIsImF1ZCI6ImNvbS5pYm0ubWZwIiwiZXhwIjoxNDgwMzIyNzM5ODc0LCJzY29wZSI6ImFvdkxvZ2luIn0.jGJAhZaV6NFHZKj-LKBmJ6Gqb7ZrZX20xDKEPkNtORZ1tanLo8MSklY2HogK-wKs7APIuWESLSsskrwR9p0EnrmHgUYZf3BPY9HDUSBojUN9-vd_I9kavcg34Hes1KTvYG4Wi-9XbZQ2T1-SbHhn-mqsToeLIGBGkzsugwQG9tIKG3Qr0BixDIfuhxux4Gdo30HCyn9SB5ZaY5wdxaD2_kJjnJih_SsAuuXRNAXEO_PgExnZ6Mr1qyqyOfwc3k9jmgRpuEQigYYRYOP-Tvs_i59IVYOdpsQ70gi-Ky09orx5Jy3hVJv-J45Dx7FHdR3ZPTn7pYW7IRmRo4CZ2COoCg 

HTTP/1.1 200 OK 
..... 

--- CALL AGAIN, new bearer is generated 

POST /mfp/api/az/v1/introspection HTTP/1.1 

POST /mfp/api/preauth/v1/preauthorize HTTP/1.1 

GET /mfp/api/az/v1/authorization?XXX HTTP/1.1 

POST /mfp/api/az/v1/token HTTP/1.1 


POST /com.costaisa.app.api/api/mfprest/delegation/detail/private HTTP/1.1 
Authorization: Bearer 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.eyJpc3MiOiJjb20uaWJtLm1mcCIsInN1YiI6IjM1NDcyYWNhLWVlNmItNGNhZi04OGQ2LWQxY2ExNjQ0NzM4NyIsImF1ZCI6ImNvbS5pYm0ubWZwIiwiZXhwIjoxNDgwMzM5OTU0NjE2LCJzY29wZSI6ImFvdkxvZ2luIn0.JSm3nrW6BD5i66GossHYM4-6GqQfC-ZSH5P-X4M9mws2jBNvCkFKgv_XbRAb3km-0NMZz3FHsrY_0h0dx7fpJYiR9CIjaY-PFw75zdKbyEpzbhAX7OjZtYOtZblKEYLkT8mH-0mLc6VE_YBPFd2q55HMmECCLirAAdWwzMGgEzL02OKTd1GVuJyjqjlxeOJypFglaHezuByd6eGVMFJvnfDX3h_o6k8sWcv-g7UFa8jtcMNZpbzFOYG9Q2nGQ-oYIt17QyF4CVKPMN4anMwRRQ_2cjuvg-1ZuU450hxBX3u09wBxJ21mQklgg72t7fdLKgT7EIPmQlPP3wrX9qzy7A 

HTTP/1.1 200 OK

更新:

  • 範囲はWLResourceRequestに送信された場合にMFPの外部リソースとのserveral呼び出しに401と403の呼び出しを回避することができHTTPこれは、呼び出し新しいトークンを生成
  • 絶対URLを使用する外部リソースと、相対URLを使用して標準保護アダプターを呼び出すこともできます。

保護されたアダプターの呼び出し例:

var resourceRequest = new WLResourceRequest(
    "/adapters/AOS42_AOV_API/resource/protectedResource", 
    WLResourceRequest.GET, 
    {'scope' : 'aovLogin'} // it avoids 401 and 403 responses 
); 

resourceRequest.send().then(
    function (response) { 
     alert("response ok protectedResource " + response.responseText); 
    }, 
    function (response) { 
     alert("response ko protectedResource " + response.responseText); 
    } 
);

サンプル呼び出す外部リソース:

var resourceRequest = new WLResourceRequest(
    "https://someurl.com/someApp/protectedResource", 
    WLResourceRequest.GET, 
    {'scope' : 'aovLogin'} // it avoids 401 and 403 responses 
);

アップデート2:

我々は変更を加えました:代わりに、保護された外部リソースへの呼び出しHTTP 401を受信して​​から送信するのではWLAuthorizationManager.loginを前に呼び出します。

Androidでは、各呼び出しの前にMFPを3回呼び出し続けますが、今度はサーバーが同じベアラートークンを返します。

同じCordovaアプリケーションが、MFPで保護された同じRest Adapterを呼び出し、MFPで同じセキュリティアダプタを使用することは、iOSで正常に動作します。 ベアラが取得されると、外部APIへの呼び出しのみが表示されます。

出典

2016-11-28 Sergio Otero Lopez

+0

2番目のコールが10分以内に発生したにもかかわらず、新しいトークンが生成されたとしますか? –

+0

また、外部リソースについても言及しました。通常の内部リソース(アダプタ)を使用する場合は、同じ動作が表示されますか? –

+0

はい、新しいベアラ(MFPへの4回の呼び出し)を取得し、毎回外部リソースを呼び出します。私はHTTPリクエストを取得し、サーバーは少なくとも10分間同じトークンを受け入れます。私は保護されたアダプタをテストし、同じように動作します。私はこの情報で質問を更新しました –

答えて

1

このバグは、MobileFirst Foundation 8.0向けにリリースされたばかりのiFixで解決されました。ビルド番号は8.0.0.0-IF20170125-0919です。 iFixをダウンロードするには、IBM Fix Centralにログインしてください。

関連するAPARは以下のとおりです。
PI74988複数の認可CALLSあなたはコルドバを使用しているので、Androidアプリケーション

の各REST呼び出しのために作られて、私は8.0を@にコルドバ・プラグイン・MFPのプラグインを更新すると信じて.2017012210で十分です。

出典

2017-01-31 06:53:53

関連する問題

 関連する問題