나는 다양한 작업을 수행하기 위해 https를 통해 웹 서비스를 사용하는 공개 웹 사이트 (승인 필요 없음)를 유지 관리하고 있습니다. 웹 서비스에 대한 대부분의 호출은 javascript에서 호출됩니다.최소한의 웹 서비스 보안 방법?
최근에 나에게 발생한 것은 악의적 인 해커가 시스템을 혼란에 빠뜨리려고 직접 웹 서비스를 호출 할 수 있다는 것입니다.
현실적으로 할 수있는 피해는 그리 크지 않지만 실제로는 이러한 것을 예측하기가 어렵습니다.
웹 서비스 호출이 웹 서비스에 대한 무단 및/또는 악의적 인 액세스를 방지하는 데 사용할 수있는 최상의 접근 방식 인 자바 스크립트 코드 (클라이언트에서 사용 가능)에서 노출된다는 것을 명심하십시오.
슬프게도 IP로 액세스를 제한 할 수는 없습니다. Windows Forms 기반 클라이언트 응용 프로그램이 있기 때문에 웹 서비스와 상호 작용합니다.
Windows 인증을 사용하는 것이 어려울 수 있습니다. 이러한 클라이언트 앱은 전 세계 어느 곳에서나 실행할 수 있으며 사용자는 특정 AD 그룹 또는 도메인과 관련되지 않습니다.
두 가지 액세스 클래스와 자바 스크립트 코드 노출을 염두에두면 어떤 제안이라도 고맙겠습니다.
다른 버전의 보안을 유지하려면 어떻게해야합니까? –
마음에 떠오르는 한 가지 방법은 cmartin에서 제안한 방법과 비슷합니다. Windows 응용 프로그램을 시작할 때 일종의 토큰을 발급하여 서비스의 매개 변수로 전달할 수 있습니다. 발급 된 토큰 및 요청의 IP 주소) – AlexCuse