ReSTful webservice가 man-in-the-middle 공격 피하기, 신뢰할 수있는 클라이언트 연결 보장, 클라이언트가 실제로 말하고 있는지 확인하는 것과 같은 보안 문제가있는 엔터프라이즈 응용 프로그램의 경우 실제로 응답 인 경우 궁금해하기 실제 서버 등.ReSTful webservice가 내 경우에 실제로 대답입니까?
HTTPS가 해결책입니까? IT/응용 프로그램 보안에 대해 그렇게 강력하지는 않지만 매우 이해할 수는 없지만 그 이유는 무엇입니까?
나는 ReST가 이야기되고 (레이드 된) 것에 대해, 그리고 The-thing로 투영되는 것을보고, 보안 채택이 그렇게 큰 관심사가 아닌 이유를 이해할 수없는 것으로 보아, 그리고 그것이 있다면, 그것에 대해 무엇을 할 수 있습니다.
서비스 보안에 중점을 두어 중간자 공격을 피하려면 클라이언트에 인증서를 발급하고 해당 인증서로 서명 된 요청 만 수락해야합니다. 그것은 당신과 당신의 고객을 위해 더 많은 일을 합니다만, 엔터프라이즈 환경에서는 그만한 가치가 있습니다. 그것은 조사할만한 가치있는 선택입니다.
메시지 수준 보안을 갖지 않으므로 HTTPS를 사용하여 전송 수준 보안을 수행해야합니다.
사람들이 부호가있는 원자 피드를 사용하는 것을 보았지만 SOAP과 함께 제공되는 WS- * 스택의 레벨에는 아무런 영향을 미치지 않습니다.
감사합니다. 내 질문을 게시하는 사이에, 나는 더 많은 독서를 했으므로 응답을 높이 평가할 수 있습니다. 일부는 OAuth2.0을 대답으로 제안했으며, OAuth의 디자이너/발명가는 그의 블로그에서 OAuth2.0의 단점을 계속 주장합니다. 현재 나의 이해는 SSL과 함께 OAuth2.0 구조 (모든 것이 내가 이해하지 못하는)가 현재의 모든 보안 문제를 해결하는 것 같다. 그러나 그 유일한 해결책입니까 아니면 다른 방법입니까? 시간이 지남에 대규모 SSL 인증서 mgt/admin, 오히려 도전적인 작업 것 같습니다. – icarus74
HTTPS에 대한 우려 사항은 무엇입니까? –
@ darrel-miller 님, 내 질문에 대해 자세히 설명해 주셨습니다. 솔직히 HTTPS가 적절한 지 아닌지는 알지 못합니다. ReST를 읽기 시작한 시점이며, 놀랍게도이 텍스트는 보안에 대해 아무 것도 말하지 않습니다. 고객 인명록, 고객 세부 정보, 주문 목록, 주문 세부 정보를 HTTP를 통해 공개하는 방법은 기업 인트라넷에서도 가능합니다. 그래서 나는이 텍스트가 간단한 소개 였다고 믿게하고, 이해해야 할 것이 많다. – icarus74
프로토콜에 대한 걱정을 해소하기 위해 HTTPS 및 SSL/TLS에 대해 자세히 읽어보십시오. Darrel의 함축 된 요점은 HTTPS가 보안 요구 사항을 충족시킬 것이라는 점입니다. 응답을위한 –