想知道ReSTful webservice是否真的是我的企業應用程序的答案,其中存在一些安全問題,例如避免中間人攻擊,確保可信客戶端正在連接,客戶端確信它確實在說話到真實的服務器等。ReSTful webservice真的是我的答案嗎?
是HTTPS的解決方案嗎?已經閱讀了一些關於它的充足性和適應性的問題,雖然IT /應用程序安全性不是很強,但是不太明白,爲什麼這麼做!
我看到ReST正在被談論(/謾罵),並且被推測爲The-thing,並且看到它被採納,似乎無法理解爲什麼安全事件不是如此大的關注,如果是的話,可以做些什麼呢。
如果您真的很重視保護您的服務並避免中間人攻擊,您應該向您的客戶頒發證書,並且只接受使用這些證書籤名的請求。這對於您和您的客戶來說是更多的工作,但在企業環境中,額外的努力可能是值得的。這絕對是一個值得探討的選項。
開箱即用,您不會有任何類型的消息級安全性,並且您需要利用HTTPS來實現傳輸級安全性。
我曾經看到有人試圖使用帶符號的原子提要,但它沒有任何與SOAP附帶的WS- *堆棧層次相同。
感謝您的回答。在發佈我的問題和現在之間,我已經做了更多的閱讀,因此可以感謝您的迴應。有人建議OAuth2.0成爲答案,OAuth的設計者/發明者在他的博客上繼續聲稱OAuth2.0存在缺陷。我目前的理解是,OAuth2.0構造(所有這些構造我都不瞭解),以及SSL,似乎解決了當前所有的安全問題。但是,這是唯一的解決方案,還是有其他方法?隨着時間的推移,大規模SSL證書管理/管理,似乎是相當具有挑戰性的操作。 – icarus74 2011-04-29 03:59:02
您對HTTPS有什麼擔憂? – 2011-04-28 21:38:30
@ darrel-miller,進一步澄清了我的問題。老實說,我不知道HTTPS是否足夠,因爲我剛剛開始閱讀ReST,而令人驚訝的是,文本沒有談論任何有關安全性的內容。我無法圍繞我的頭,如何談論通過HTTP公開客戶列表,客戶詳細信息,訂單列表,訂單詳情,即使是針對企業內部網。這讓我相信這篇文章是一個簡單的介紹,還有很多需要了解的內容。 – icarus74 2011-04-29 03:51:13
詳細閱讀HTTPS和SSL/TLS以滿足您對協議的擔憂。 Darrel的暗示是(我假設)HTTPS可能會滿足您的安全要求,我會同意。 – 2011-04-29 04:01:14