Die Verschlüsselung von Daten für RESTful services mit Jersey

Ich bin mit Jersey für meine RESTful-web-service-Entwicklung. Ich habe bereits konfigurierte SSL für Punkt-zu-Punkt Sicherheit...aber ich brauche einige Sicherheit auf Anwendungsebene (Ende-zu-Ende), für die ich denke, die Verschlüsselung ist der einzige Weg zu gehen. Es sind noch ein paar Verschlüsselungs-features, in-built mit Jersey für die Verschlüsselung der XML - /JSON-sende ich zu meinen Kunden ? Oder vielleicht ein third-party-Java-filter, die helfen können Sie mir in diesem Fall ??

Wenn ich nichts bekommen, ich denke ich kann schreiben, code für die Verschlüsselung der Objekte vor dem serialisieren in XML/JSON über Jersey...aber ich denke, das wäre schmerzhaft und weit weniger effizient.

Irgendwelche Gedanken würde geschätzt werden, über dieses Thema. Ich möchte, dass meine RESTful-services so sicher wie die von den SOAP WS-Security-standards.

Vielen Dank !

  • Sie sind also die Verschlüsselung der Daten auf der Leitung mit SSL, aber Sie wollen auch, um die Daten zu verschlüsseln, die Sie gehen zu verschlüsseln? Was ist das problem, das Sie versuchen zu lösen indem ich das Tue? Enthält Ihre Anwendung benötigen Zugriff auf die Daten in der XML - /JSON-Nutzlasten oder nicht?
  • Ich bin auch auf der Suche nach Sicherheit auf Anwendungsebene ist nicht nur der transport level security. Von was ich gelesen haben über das Internet, SSL bieten keine Ende-zu-Ende-Sicherheit (app. Ebene) : serverfault.com/questions/277644/...
  • Ich verstehe immer noch nicht was du meinst mit "application-level-security". Sind Sie versuchen zu verhindern, dass snooping Ihrer Datenbanken? Ihre Protokolle? Ihre Prozesse?
  • Produzierte ich den Begriff hier als ich sah, wie über das web ! Ich brauche nur die Daten zu sichern, die ich geschickt in einer Weise, dass nur die bestimmte "Anwendung" (und nicht "das system") ist in der Lage, die Daten verwenden, mein client sendet. Dies ist, weil ich Sie brauche um das weitergeben dieser Daten zwischen vielen Vermittlern, die im Mai/kein SSL verwenden.
  • Also, was Sie versuchen zu tun, ist zu verhindern, dass snooping Ihre Daten, wie bewegt es sich zwischen Ihrer Anwendung, Schichten, richtig? Dann müssen Sie darauf bestehen, dass SSL verwendet werden, um die Daten zu verschlüsseln, wie es bewegt sich zwischen jeder Ebene der Anwendung. Wenn Sie nicht machen dies geschehen, werden Sie am Ende re-Implementierung von SSL-Funktionen in Ihre Anwendung, so dass es komplexer und schwieriger zu pflegen. Es wäre viel besser durchzusetzen, um einen sicheren transport zwischen den einzelnen Schichten.
InformationsquelleAutor WinOrWin | 2011-07-07
  1. 2

    Ich bin mir nicht sicher, warum SSL allein nicht Ihren Bedürfnissen entsprechen (nicht "Punkt zu Punkt" das gleiche wie "Ende zu Ende"?) aber die Keyczar encryption library (open Source von Google) sieht sehr einfach zu bedienen.

    • Ich lese in vielen Foren, dass SSL keine Ende-zu-Ende-Sicherheit : serverfault.com/questions/277644/...
    • Lesen Sie die erste Antwort auf die Frage, die du verlinkt, die verdeutlicht, dass der ursprüngliche poster ist verwirrt durch einen Artikel über die Weitergabe von Daten, die seine Frage (und deine) ist nicht mit betroffenen. Wenn Sie die Verwendung von SSL zwischen Ihrem Dienst und client, dann alles zwischen Ihrem Dienst und dem client verschlüsselt über die Leitung. Wenn Ihr Dienst benötigt, um die relay-Anfragen vom client an andere Dienste und verwendet nur SSL von client zu server, dann nicht die ganze Sache ist nicht verschlüsselt.
    • In einem system, wo es nur ein system sprechen, in ein anderes system, dann "Punkt zu Punkt" und "Ende" bedeutet dasselbe, wie die "Punkte" und "enden" sind identisch.
    • Ich bin leider nicht klären zunächst. Ich habe eine Liste von Vermittlern für die Nachrichtenübertragung, die möglicherweise oder möglicherweise nicht HTTPS verwenden. In dem link, den ich postd oben, es ist klar, dass ich einen application-level-Verschlüsselung für einen solchen Fall.
    • Ah, das war nicht klar von Anfang an. Wenn Sie wirklich brauchen, to verschlüsseln Sie die Nutzlast selbst, dann denke ich, keyczar oder bouncycastle (unten vorgeschlagen), sollte aber funktionieren, nicht?
    • Ja, ich denke, ich muss gehen mit diesen Werkzeugen. Ich dachte nur, vielleicht Jersey bietet einige einfache Weg (ohne zusätzlichen code schreiben, in all meinen Klassen), dies zu tun - oder vielleicht einige Filter.
    • Bibliotheken wie Jersey sind nicht zu berücksichtigen Verschlüsselung, wie Sie brauchen, einfach, weil es verwendet werden würde, so selten, wie die meisten Leute können nur https verwenden. Was Sie verwenden, wird komplexer durch die maximale Länge von urls, wenn das ein Problem wird.
    • b : ich werde für Keyczar 🙂 Aber ich denken Sie, dass dies funktionieren würde, gut für meine mobile clients wie iPhone und Blackberry ?
    • Es kann die Arbeit auf dem iPhone, obwohl Sie wahrscheinlich benötigen, um wickeln Sie das C++. Bezweifle, dass es funktioniert auf dem Blackberry, es sei denn, Sie haben eine JavaME version. BouncyCastle hat eine JavaME version, so können Sie sich bei der Arbeit mit Brombeeren und Android, aber nicht das iPhone.

    InformationsquelleAutor matt b
  2. 3

    Wenn Sie dass alles auf die URL der RESTful-Dienst, dann führen Sie wahrscheinlich in ein limit, wie lange die url sein kann, wenn Sie Sie verschlüsseln.

    Neige ich zum BouncyCastle (http://www.bouncycastle.org/) für meine Verschlüsselung, aber das ist, weil Sie die Unterstützung der Java-und der .NET.

    Aber, warum sind Sie besorgt, dass die SSL-Verbindung kann nicht genug Sicherheit?

    Wenn die Sorge ist, dass Sie wollen, um zu überprüfen, denen geschickt, die es dann möchten Sie vielleicht, um einfach nur den Absender erstellen einer digitalen Signatur und anfügen, dass, so dass Sie überprüfen können, Ihre Unterschrift.

    • Dank James. Können Sie bitte erläutern Sie den letzten Absatz Ihrer Antwort..es ist nicht klar, scheint aber sinnvoll für meinen Fall.
    • Da konnte ich noch nicht erkennen, dass es auf anderen Stufen der Daten geht durch, mein Gedanke war, dass Sie wollte, zu verschlüsseln, um zu überprüfen, den Absender. In diesem Fall können Sie verketten Sie den Parameter dann erhalten Sie eine digitale Signatur aus, so dass nur der sender könnte ihn erstellt haben, aber wer konnte überprüfen, dass nichts in die Parameter geändert wurde, durch die überprüfung der Signatur. So erzählt es Ihnen, zwei Dinge, die Absender, denen Sie denken, es ist und keine Daten verändert, seit Sie gesendet wurde.
    • Vielen Dank James. Ich würde versuchen, zu integrieren, diese Idee zu.
    InformationsquelleAutor James Black
Schreibe einen Kommentar