所以我有Symfony项目,它还负责数据库抽象和数据层。简而言之 - 所有数据请求都应该通过它。
现在我希望使用我公开的Web服务API,让想要查询/更新数据库内容的外部组件。
问题:如何确保这些Web服务在安全通道内运行?我不希望未经授权的用户更新我的数据库,我也不希望窃听者获取敏感数据。使用PKI设置客户端身份验证是否可行?还是有点矫枉过正?解决这个问题的方式是什么?
谢谢! -dbg
答案 0 :(得分:2)
首先,如果您拥有数量有限的服务用户,并了解他们的ips,您可以通过ips取消对ceirtain网址的访问权限。 接下来,查看Practical symfony,他们将身份验证令牌嵌入到网址中。