如何保护AEM 6.5中无头架构中的AEM页面和资产

Question

我在AEM中有一些内容，我计划以无头的方式将这些内容导出到移动应用程序（React）中。我使用AEM内容作为服务，吊索内容出口商（Jackson）导出内容。

例如，http：// localhost：4502/pontent/we-retail/language-masters/en/course.model.model.json将导出一些内容到frontend应用程序（React Mobile App）。我想保护此API调用，我应该将JSON响应仅返回我的前端应用程序（React Mobile App），

我想验证谁在调用AEM。在这种情况下，我只想允许移动（React）致电AEM并希望拒绝所有其他人。如何保护我的AEM内容？

我想的一种方式是在AEM中使用 Apache Sling转介滤波器。如果我们不允许在“允许主机”中使用移动应用程序（REECT），则推荐人过滤器将拒绝请求。这是正确的处理方式吗？如果还有其他最佳方法来处理此问题吗？使用Adobe Granite OAuth 2.0服务器怎么样？

请建议我什么可用的选择来保护无头的内容。

Answer 1

当您将应用程序放弃时（并且基于JavaScript），您将无法获得完全的安全性。攻击者可以使用越狱手机并进行调试或删除您的应用程序。但是您可以轻松地以某种方式保护您的API，没有人可以“注意”找到入口。平均黑客无法访问。

简单的方法= SSL +基本验证

确保仅通过HTTPS（= SSL）访问您的网站。然后只需添加一个基本的验证密码，这很难猜测。这很容易实现（在调度程序和应用程序中），开发人员/运营商仍然可以测试API。只能确保在您的应用中使密码混淆。因此，不要将其存储为纯文本。简单的XOR加密可能就足够了。

Advanced方法=带有客户端认证的SSL

而不是基本的验证密码，您可以使用SSL客户端证书（也可以在调度程序上实现，而不是在AEM中实现）。这可能有点过分设计，并且仍然会丢失。但是现在，攻击者必须将您的应用程序解释以提取证书。理论上可以通过其他方式“找到”基本的auth密码，也可以用蛮力攻击。

PS：在这两种情况下，您都需要通过一些入侵检测来监视API。而且，您必须能够向合法客户端分发新密码或客户端证书。

PPS：移动安全是一个重要的话题。这无法在堆叠问题中处理。但是，要阻止脚本 - kiddies爬上API，简单的方法可能足够好。