想知道ReSTful webservice是否真的是我的企业应用程序的答案,其中存在一些安全问题,例如避免中间人攻击,确保可信客户端正在连接,客户端确信它确实在说话到真实的服务器等。ReSTful webservice真的是我的答案吗?
是HTTPS的解决方案吗?已经阅读了一些关于它的充足性和适应性的问题,虽然IT /应用程序安全性不是很强,但是不太明白,为什么这么做!
我看到ReST正在被谈论(/谩骂),并且被推测为The-thing,并且看到它被采纳,似乎无法理解为什么安全事件不是如此大的关注,如果是的话,可以做些什么呢。
如果您真的很重视保护您的服务并避免中间人攻击,您应该向您的客户颁发证书,并且只接受使用这些证书签名的请求。这对于您和您的客户来说是更多的工作,但在企业环境中,额外的努力可能是值得的。这绝对是一个值得探讨的选项。
开箱即用,您不会有任何类型的消息级安全性,并且您需要利用HTTPS来实现传输级安全性。
我曾经看到有人试图使用带符号的原子提要,但它没有任何与SOAP附带的WS- *堆栈层次相同。
感谢您的回答。在发布我的问题和现在之间,我已经做了更多的阅读,因此可以感谢您的回应。有人建议OAuth2.0成为答案,OAuth的设计者/发明者在他的博客上继续声称OAuth2.0存在缺陷。我目前的理解是,OAuth2.0构造(所有这些构造我都不了解),以及SSL,似乎解决了当前所有的安全问题。但是,这是唯一的解决方案,还是有其他方法?随着时间的推移,大规模SSL证书管理/管理,似乎是相当具有挑战性的操作。 – icarus74 2011-04-29 03:59:02
您对HTTPS有什么担忧? – 2011-04-28 21:38:30
@ darrel-miller,进一步澄清了我的问题。老实说,我不知道HTTPS是否足够,因为我刚刚开始阅读ReST,而令人惊讶的是,文本没有谈论任何有关安全性的内容。我无法围绕我的头,如何谈论通过HTTP公开客户列表,客户详细信息,订单列表,订单详情,即使是针对企业内部网。这让我相信这篇文章是一个简单的介绍,还有很多需要了解的内容。 – icarus74 2011-04-29 03:51:13
详细阅读HTTPS和SSL/TLS以满足您对协议的担忧。 Darrel的暗示是(我假设)HTTPS可能会满足您的安全要求,我会同意。 – 2011-04-29 04:01:14