Проблемы безопасности, связанные с движком во время выполнения в jbpm 6.1?

Question

Проблемы безопасности, связанные с движком во время выполнения в jbpm 6.1?

В удаленном API JBPM можно получить доступ к развертыванию jbpm с кодом, подобным следующему:

RemoteRestRuntimeFactory restSessionFactory 

 = new RemoteRestRuntimeFactory(deploymentId, baseUrl, user, password);


// Create KieSession and TaskService instances and use them

RuntimeEngine engine = restSessionFactory.newRuntimeEngine();

KieSession ksession = engine.getKieSession();

ProcessInstance processInstance =        ksession.startProcess("com.burns.reactor.maintenance.cycle");

long procId = processInstance.getId();

Что мне интересно, так это то, что жесткое кодирование имени пользователя и пароля вызывает проблемы с безопасностью? Если так, как можно обойти их?

РЕДАКТИРОВАТЬ:

Более конкретно, если пароль жестко задан в виде открытого текста и закодирован в объект RemoteRestRuntimeFactory, это может вызвать любые проблемы при отправке по сети.

0

java security jbpm

Источник

user1768351 05 окт '15 в 18:39

1 ответ

Решение

Другие вопросы по тегам java security jbpm

user1168802 06 окт '15 в 14:45 2015-10-06 14:45 · Accepted Answer · 2015-10-06 14:45

Насколько я могу судить, клиентский код использует HTTP-механизм аутентификации Basic [1].

Если ваш KIE Workbench не использует HTTPS, то я думаю, что ваш пароль передается в виде обычного текста (хотя и с использованием base64ed) по сети. Стоит отметить, что клиентский код поддерживает HTPPS.

Возможно, некоторые из разработчиков jBPM могли бы пролить свет на это.

Надеюсь, поможет,