目前我開發一個REST APIServer和SSL API安全
我的API訪問只是我的服務器和我的客戶端服務器(B2B,企業對企業)之間。例如:myserverapi.com(我的REST API服務器)和myclientserver.com(我的客戶端服務器訪問我的API)*沒有第三個連接/應用
我們正在實施api_key(當然它是必須的)和域名所以客戶具體的域名,他將訪問API,所以我的服務器API將只接受)
for myserverapi.com,如何只接收來自myclientserver.com的連接?僅使用$_SERVER['REMOTE_ADDR']
?夠了嗎 ?但從幾個地方閱讀後,我不能使用它,因爲如果它在代理或負載平衡器農場下,IP可能是錯誤的。什麼是解決方案?
以及如何安裝SSL證書?我必須更改我的代碼嗎?或者只是購買並安裝在服務器端,自動我的api將是安全的?
是openssl-verify函數只有安全的方式才能真正知道訪問是從特定的服務器或不是? http://php.net/manual/en/function.openssl-verify.php這是否意味着我必須更改我的代碼來加密和解密數據,如在此鏈接http://3stepsbeyond.co.uk/2010/12/openssl-and-php-tutorial-part-two/
所以基本上我只是想確保myserverapi.com只能從myclientserver.com訪問。 myclientserver.com只接受來自myserverapi.com的數據。怎麼做 ?
我希望有人給我一個很好的解釋。
謝謝
「足夠」是一個難題;對一些人來說,可能。在某些情況下,可能。傳達政府機密,沒有。保護可能傳播的商業祕密,沒有。有效地忽略freeloaders,沒有。安全需要付出一定的代價,並且必須針對運輸,權限,訪問等進行評估。因此,這取決於誠實地評估所涉及的問題,需求或預期的要求,以及是否有足夠的資金和時間來解決問題。計劃相應。 –