我们正在开发基于Jersey的Rest Web服务,该服务接收来自移动设备的输入。 JSON有效负载中有一些敏感部分,如信用卡信息,密码和其他需要通过线路传递的东西。如何确保它们在电线上安全通过和接收。顺便说一句,我将我的服务公开为https。这还不够,还是需要采取其他预防措施。
答案 0 :(得分:0)
您可以尝试客户端证书。在https上发送请求服务器时,了解服务器如何呈现SSL证书? Cervers可以向客户申请证书,以便他们了解客户。客户端生成证书并通过安全通道将其提供给您。
您将证书客户端证书的公钥变为您的服务器,并且Web服务器将不接受来自任何人的连接,除了具有服务器所知道的证书的相应私钥的人员。
基本上它运行在HTTPS layer上,因此您甚至可以完全跳过OAuth等应用级身份验证(具体取决于您的要求)。您可以抽象出一层并创建本地证书颁发机构并从客户端签署证书请求。
或进一步确保您的休息服务;这里是Owasp安全实验室的链接,它提供了很好的备忘单:https://www.owasp.org/index.php/REST_Security_Cheat_Sheet