在JBPM远程API中,可以使用类似于以下代码的方式访问jbpm部署:
RemoteRestRuntimeFactory restSessionFactory
= new RemoteRestRuntimeFactory(deploymentId, baseUrl, user, password);
// Create KieSession and TaskService instances and use them
RuntimeEngine engine = restSessionFactory.newRuntimeEngine();
KieSession ksession = engine.getKieSession();
ProcessInstance processInstance = ksession.startProcess("com.burns.reactor.maintenance.cycle");
long procId = processInstance.getId();
我想知道的是,此处的用户名和密码的硬编码会引起任何安全问题吗?如果是这样,一个人怎么能绕过它们?
编辑:
更具体地说,如果密码以明文形式硬编码并编码到RemoteRestRuntimeFactory对象中,则在通过网络发送密码时,可能会引起任何问题。
最佳答案
据我所知,客户端代码正在使用HTTP基本身份验证机制[1]。
如果您的KIE Workbench未使用HTTPS,那么我认为您的密码通过网络以纯文本格式(尽管使用base64)传输。值得一提的是,客户端代码似乎支持HTPPS。
也许某些jBPM开发人员可以在这里阐明一些信息。
希望能帮助到你,