Devo separare le sessioni REST dalle sessioni nel resto dell'applicazione?

1

Supponendo che disponga di risorse a cui limitare l'accesso con un nome utente + password di accesso nella mia applicazione web e nella mia API REST. Devo mantenere sessioni diverse per entrambi, il che significa che un accesso tramite l'interfaccia utente web non consente l'accesso alle risorse accessibili tramite REST e viceversa? Le combinazioni di nome utente e password sarebbero le stesse.

Afaik se concedo l'accesso ad entrambi con un accesso sarei ancora in grado di applicare metodi di autenticazione REST avanzati, come HMAC , almeno quando l'accesso avviene tramite REST.

L'applicazione concreta è implementata con tecniche Java EE, in particolare Java Server Faces che separa le sessioni JSF e la sessione REST intenzionalmente o involontariamente, tuttavia è possibile superare facilmente la separazione .

    
posta Karl Richter 29.07.2018 - 14:28
fonte

1 risposta

1

Mantengalo separato, o almeno non fidarti di un agente su REST esclusivamente in base al possesso di un cookie.

Consentire a un cookie di accesso concesso tramite l'interfaccia utente Web di concedere l'accesso a metodi http non sicuri nell'API restante creerebbe una vulnerabilità cross-site request forgery (CSRF), a meno che l'API rimanente includesse una difesa contro CSRF.

    
risposta data 29.07.2018 - 22:21
fonte

Leggi altre domande sui tag