안녕하세요 보안 및 웹 서비스와 관련하여 질문이 있습니다.웹 서비스 보안
기본 mySQL 데이터베이스에 대한 인터페이스를 제공하려면 웹 서비스가 필요합니다. 웹 서비스를 통해 웹 서버 mySQL 데이터베이스에 데이터를 저장하는 Blackberry Application을 얻으려고합니다.
제 질문은 bb-application이 웹 서비스를 사용하는 유일한 것이라는 것을 어떻게 보장 할 수 있습니까? 웹 서비스는 필수적으로 테이블에 데이터를 삽입합니다. 나는 bb-application 만이 서비스를 사용하도록 허용하고 서비스를 파악하고 내 테이블을 스패밍하기를 원하지 않도록하고 싶습니다.
모든 포인터, 모범 사례 또는 링크는 크게 감사하겠습니다.
또한이 시나리오에서 어떤 종류의 웹 서비스가 가장 좋습니까?
HTTPS를 통해 REST 웹 서비스를 사용하면 문제가 해결됩니다. 난 그 플랫폼에서 HTTPS를 사용하는 방법에 대한 모든 포인터를주지 않을 수 있도록 블랙 베리 애플 리케이션에 대해 아무것도 모르겠다.
저는 BlackBerry 응용 프로그램이 스스로 만들어 졌다고 가정합니다. 그렇게 할 수있는 방법은 응용 프로그램 만 만들 수있는 시퀀스 또는 해시를 만들어서 웹 서비스에서 확인할 수 있도록하는 것입니다. 예를 들어, 프로세스 시작 단계에서 웹 서비스는 각 단계에 대해 키 시퀀스를 전송합니다.이 시퀀스는 고유 한 해시를 만드는 메서드에서 응용 프로그램의 내부 사전에 매핑됩니다.
다음과 같이 흐름은 다음과 같습니다
HTH
면책 조항 :이 가정하면 오픈했다 WS이다.
my answer here도 참조하십시오.
SOAP 웹 서비스를 만드는 경우 ws-security에 대해 읽으려고합니다.
SSL을 통한 기본 인증을 살펴보십시오. 헤더에 사용자 이름/암호를 포함하도록 응용 프로그램을 구성하는 것은 매우 간단해야하며 SSL 연결은 일반 텍스트로 전송되지 않도록합니다.
HMAC 인증 및 유효성 검사를 구현하려면 net.rim.device.api.crypto.HMAC를 사용하십시오. Blackberry에서 엔드 투 엔드 SSL 연결을 설정하는 것은 문제가 될 수 있으며 사용자가 기업 BES에서 활성화되지 않는 한 무선 공급자 지원에 의존합니다. 강력한 보안을 원할 경우 솔루션의 일부로 적극 추천합니다.
다른 사람들은 사이트를 보호하기 위해 SSL을 사용한다고 표시했습니다. 그러나 그것은 퍼즐의 한 부분 일뿐입니다.카일은 두 번째와 가까웠지만 꽤 잘랐다.
대답은 웹 서비스에 게시되는 모든 단일 트랜잭션에는 특정 유형의 인증 키가 포함되어야한다는 것입니다. 이 키는 사전 공유되어 응용 프로그램에 구워 지거나 다른 수단을 통해 획득되어 응용 프로그램 설치/구성 프로세스의 일부로 설정 될 수 있습니다.
거의 모든 회사가이 방법으로 온라인 웹 서비스를 제공합니다. 기본 프로토콜 (예 : SSL)에 관계없이 요청이 실제로 승인 된 장치/프로그램에서 오는 것인지 확인해야한다는 아이디어입니다. 일부 공급 업체는 사용자가 각 사용자에 대해 고유 한 키를 만들고 각 장치에 대해 고유 한 키를 만들고 다른 키는 전체 조직에 대해 단지 하나의 키를 만듭니다. 당신이 그것을 얼마나 깊이 생각하는지에 관계없이 실제로 열쇠가 있습니다.
일반적으로 키가 크지 않습니다. 15에서 40 자 사이의 영숫자 문자 일 수 있습니다.
REST는 HTTPS와 관련하여 더 이상 (또는 덜) 보안을 제공하지 않습니다. 특히 REST가 실제 HTTP 동사 정의에 따라 처리를 수행하고 있다고 생각하는 경우 ... 여기에 무엇을 말하려고하는지 정확히 모르겠습니다. – NotMe