我已经阅读了几天安全文章,但没有在该领域接受过正式培训。我正在为物联网设备开发配置和管理应用程序。它可以在内部网络上运行,也可以通过Web访问。
我的应用程序将由IT管理员,经理和工厂级员工使用。根据安装情况,将有不同级别的基础设施。它可以在地板上的笔记本电脑上运行,在服务器上运行,也可以在云中托管。出于这个原因,我们不能假设我们的客户将拥有您在数据中心或云中可能找到的那种基础架构,例如CAS或NTP。
我们的应用程序为客户端应用程序提供REST API以收集数据。我们希望使用角色来限制用户可以访问的数据。我已经收集到一个常见的身份验证解决方案是在REST头中编码用户名/传递。但是,除非通过安全通道发送,否则这是完全不安全的。
据我了解,SSL认证机构授予特定域名的证书。我们的应用程序将没有设置域,并且具有不同的IP,具体取决于安装。许多Web应用程序不信任自签名证书。 我不清楚自签名应用程序是否足以让典型的应用程序开发人员使用我们的界面。
在这种情况下:
1)我有什么选择在内部或通过网络设置安全通道?
2)我是否假设我们的产品如何使用会不必要地损害用户的安全性?
答案 0 :(得分:0)
您可以使用自定义加密来加密发送到应用程序的数据。
您还可以使用JSON Web令牌来保护您的REST API。 https://en.wikipedia.org/wiki/JSON_Web_Token。 JSON令牌可以由集中式身份验证服务器生成,并包含在客户端应用程序发送到服务器的所有请求中