我有一个基于微服务的网络应用程序。微服务通过暴露的REST API相互通信。我想要一个简单但安全的解决方案来保护我的微服务之间的通信。我已经使用JWT协议来保护我的用户服务通信,但我无法找到保护服务器 - 服务器通信的最佳方法。
更新: 我想要一种简单的方法来验证API。是一种硬编码密钥和密码的好方法,还是将它们放在配置文件中,然后使用它们对另一个端点进行身份验证? 我听说过OAuth2协议,但我担心这对我的需求来说太过分了。那么对API进行身份验证的简单而安全的方法是什么?
答案 0 :(得分:1)
您应该使用HTTPS以使服务器之间的通信安全。就点对点安全性(传输层安全性)而言,这是可行的方法。
但请记住,这并不意味着您将拥有消息级安全性(端到端安全性)。消息路径上的中介(即服务代理或其他服务和应用程序)将能够在处理消息内容时查看消息内容中的内容。
REST依赖于HTTP提供的统一契约,因此您不能像使用SOAP那样使用WS-Security的高级功能。 SOAP的安全功能提供了更广泛的选项,因此如果安全性是您的关键,那么您一定要检查SOAP Web服务。
另外,请查看this question。它与你的相关,我相信你会觉得它很有帮助。
希望这有帮助!