保護網站與我們的RESTful網絡服務之間的溝通

Question

我們將有一個由外包公司創建的網站，該網站將發送一些JSON有效載荷的信息給我們的RESTful網絡服務。用戶將在該網站上進行登錄和認證，所以我們不想知道用戶的用戶名和密碼。我們需要的是確保從其發送的JSON是受信任的網站，然後我們將發回另一個JSON負載幷包含我們的一些信息。

我在安全領域非常新，所以我用google搜索了一下，發現我們可以使用認證來加密/解密郵件。但如果我們能夠首先識別黑客請求並拒絕該請求，那麼解決方案將會是什麼。

Answer 1

由於你的描述，有馬上來了兩件事情在我的腦海：

1. 使用的SSL證書。這已確保您的 網站正在通過互聯網加密傳輸。使用令牌系統。例如，令牌廣泛用於支付解決方案中 - 因爲信用卡數據不應該觸及您自己的服務器。所有令牌都包含一些用於證明身份的祕密信息。
2. 使用HTTP請求頭，例如。 基本認證

當然，你應該有一個SSL證書。這爲您的網站增加了很多安全性。

但是，如果我們能夠首先識別黑客請求並拒絕該請求，將會有什麼解決方案。

那麼，你已經自己回答了。如果你能檢測到它，拒絕它。

Answer 2

保護您的寧靜服務的一種簡單方法就像基本身份驗證一樣。使其餘的呼叫的應用程序將提供一個請求頭像

Authorization: Basic ZWx1c3VhcmlvOnlsYWNsYXZlde 

這不會是一個基於用戶的解決方案，但web應用程序到web應用的解決方案。所有其他請求將是未經授權的。

https://en.wikipedia.org/wiki/Basic_access_authentication