OSB Security,是否值得保护代理服务和业务服务?
或者只是代理服务?
换句话说,如果业务服务没有配置安全性,这可能是一个安全漏洞吗?
答案 0 :(得分:1)
我将为您链接到文档的几个部分:
现在,当你说"如果商业服务不安全时,你实际上指出了需要理解的内容。您可以从您为其编写的代理服务的上下文中调用业务服务吗?我想说,你可以从OSB中的 ANY 代理服务中调用很多业务服务,所以如果你觉得在OSB级别,你会担心一些开发人员可能会对你的业务服务进行编码并且无需提供某种身份验证/授权即可调用它,您可能需要保护它。
此外,如果您能够从包装盒外部调用业务服务(就像使用代理服务那样),那么您可能会面临同样的问题。如果他们碰巧找到了该服务的网址,就让任何人调用该服务。
这可能不是最佳答案,但我认为您的问题可以使用一些改进来更具体地询问,"可以直接从SBConsole外部调用业务服务吗?",我很遗憾不会#&# 39;对你有一个很好的答案。
我认为更好的问题是"可以从哪个向量调用OSB业务服务?"正如它指出的那样,您必须确保人们不会直接调用您的敏感业务服务。
答案 1 :(得分:1)
在我看来,建议单独保护代理服务。与代理服务不同,业务服务没有端点URI来通过Internet将它们暴露给其他服务/代理。除非,开发人员明确地"参考"他对您正在使用的业务服务的代理服务,我没有看到任何保护业务服务从其他代理,客户的错误使用。
请注意,出于与上述相同的原因,我们仅向外部世界(客户端,其他服务等)公开代理,而不是业务服务。业务服务仅用于连接到终端系统(遗留系统,其他Web服务,JMS队列,siebel系统等)。