我们有一个HTTP端点,其中发布的表单请求包含来自第三方https网站的交易数据。
我们正在调查我们的HTTP端点可以包含代码的方式,以检查发布请求的主机是否是第三方网站而没有其他人(即黑客)。
我们的HTTP端点是否可以通过发布表单请求所在的网站进行身份验证?也许通过SSL证书认证?
非常感谢提前。
答案 0 :(得分:1)
为了保证另一方的服务器是他们所说的最安全的方法是让他们使用SSL证书。如果他们还需要相信你是谁,那么每一方都应该拥有自己的SSL证书。
评论中提供的IP范围解决方案可能是一个可能的黑客,但它非常脆弱,无法在非常严峻的环境中应用。
共享密钥解决方案可行并且可靠,但您必须不时更改密钥,具体取决于两台服务器之间的流量。
希望这有帮助。
答案 1 :(得分:0)
使用消息级安全性而不是传输级安全性(SSL / TLS)可能更好。
第三方网站将使用其证书(或者确切地说,使用与其证书匹配的私钥)对邮件进行签名,并且您的网站将验证此签名。
这可以允许用户的浏览器中继该消息,而无需两台服务器之间的直接连接。
这种机制已经存在于身份管理领域,例如SAML和Shibboleth。 (您仍然可以在服务器之间建立直接连接以获取其他信息。)