Webサービスの保護
Liferay DXPは、Webサービスに4つのセキュリティレイヤーを提供しています。
IP 許可レイヤー: Web サービス呼び出し要求の発信元の IP アドレスは、ポータル プロパティ ファイルにホワイトリストに登録されている必要があります。 ホワイトリストに登録されていない IP アドレスからの Web サービスの呼び出しは自動的に失敗します。
サービス アクセス ポリシー レイヤー: Web サービス呼び出し要求に対応するメソッドは、有効な各サービス アクセス ポリシーによってホワイトリストに登録される必要があります。 ワイルドカードを使用すると、明示的にホワイトリストに登録する必要があるサービス クラスとメソッドの数を減らすことができます。
認証/検証レイヤー (ブラウザのみ): Web サービスの呼び出し要求がブラウザから送信された場合、その要求には認証トークンが含まれている必要があります。 この認証トークンは、 p_auth URL パラメータの値です。 トークンはLiferay DXPによって生成され、ブラウザセッションに関連付けられます。 JSON WebサービスのAPIページまたはLiferay.Service(...)を使用したJavaScriptを介してLiferay DXP Webサービスを呼び出すと、p_authパラメータが自動的に提供されます。 Liferay DXPが呼び出し元の認証トークンをユーザーに関連付けることができない場合、Webサービス呼び出し要求は失敗します。
ユーザー権限レイヤー: 適切に実装された Web サービスには権限チェックが行われます。 Web サービスを呼び出すユーザーには、サービスを呼び出す権限が必要です。
承認
Liferay DXP には、調整可能な認証レイヤーがいくつか含まれています。
- Liferay DXPのJavaサーブレットへのアクセスを制限するためのリモートIPおよびHTTPSトランスポートチェック
- ポータルサービス関連の承認チェックを実行するための拡張アクセス制御ポリシー層
- 拡張可能な Liferay アセット (データベースまたはその他の場所に保存) 用のロールベースの権限フレームワーク
- ポートレットのアクセスを制御するポートレットコンテナのセキュリティチェック
- リモート API 認証方法のリモート IP チェック
- サービスアクセスポリシー リモートAPIへのアクセスを制御する
- 提供された資格情報を検証する認証検証子 。
- クロスオリジンリソース共有 構成により、信頼できるソースからのリソースのみを取得できるようになります。