在JBPM远程API中,可以使用类似于以下代码的方式访问jbpm部署:

RemoteRestRuntimeFactory restSessionFactory

 = new RemoteRestRuntimeFactory(deploymentId, baseUrl, user, password);


// Create KieSession and TaskService instances and use them

RuntimeEngine engine = restSessionFactory.newRuntimeEngine();

KieSession ksession = engine.getKieSession();

ProcessInstance processInstance =        ksession.startProcess("com.burns.reactor.maintenance.cycle");

long procId = processInstance.getId();


我想知道的是,此处的用户名和密码的硬编码会引起任何安全问题吗?如果是这样,一个人怎么能绕过它们?

编辑:

更具体地说,如果密码以明文形式硬编码并编码到RemoteRestRuntimeFactory对象中,则在通过网络发送密码时,可能会引起任何问题。

最佳答案

据我所知,客户端代码正在使用HTTP基本身份验证机制[1]

如果您的KIE Workbench未使用HTTPS,那么我认为您的密码通过网络以纯文本格式(尽管使用base64)传输。值得一提的是,客户端代码似乎支持HTPPS。

也许某些jBPM开发人员可以在这里阐明一些信息。

希望能帮助到你,

10-08 18:45