在我的应用程序中,我使用Spring MVC和JavaScript客户端。现在我需要在我的应用程序中添加一个4眼验证表单。也就是说,第二个有形的人必须来,并输入他的用户名和密码来验证某种敏感数据更新。然后,系统将针对企业LDAP检查该用户的用户名和密码,然后返回成功或失败。如果该人的认证失败,系统将通知用户删除/添加是不可能的。如果成功,系统将执行更新。
我的问题是,由于所有服务都是RESTful,我怎样才能以最安全的方式实现这样的解决方案?我听说应该不惜一切代价避免使用JavaScript API加密密码并通过网络发送密码,因为任何中间人攻击都可能造成严重破坏。 我不想使用HTTPS,它只能用于表示我的应用程序的1%的目的。我应该去Spring Security吗?如果是这样,我如何在JavaScript框架中集成Spring Security Web表单?任何想法或经验都会受到欢迎。
最佳, 麦
答案 0 :(得分:2)
如果担心安全问题,我会重新考虑你的'不想通过https和ssl'来做。
答案 1 :(得分:0)
考虑挑战 - 响应机制。不会交换密码。