我有一个基于Java的后端应用程序,仅执行读取操作。后端的工作方式是用户放置一个客户唯一标识符,并从该标识符开始。它返回客户的信息。该后端应用程序仅由公司内部团队调用。这导致我问什么时候不使用SSL认证验证?仅由公司内部团队调用的此应用程序需要两种方式的SSL认证吗?
答案 0 :(得分:3)
这与Java无关。在很大程度上取决于您公司的安全政策。
如果客户信息在公司内部公开,则完全不需要身份验证。如果它不是公共的,则需要身份验证。 (因此您的后端可以检查用户是否有权查看该信息)
通常,贵公司将根据其机密性等级规定访问信息所需的安全等级。
更新几个想到的原因(使用或不使用SSL)
不使用SSL的唯一原因(例如“强烈尝试避免使用SSL”)是
使用它的原因(如今,您应该始终至少使用HTTPS)
使用身份验证和检查用户是否被授权的原因:
PS:再添加一件事: