在我的案例中,ReSTful webservice真的是答案吗?

时间:2011-04-28 20:57:24

标签: security rest enterprise restful-authentication

想知道ReSTful webservice是否真的是我的企业应用程序的答案,其中存在一些安全问题,例如避免中间人攻击,确保可信客户端正在连接,客户端确信它确实存在与真实服务器等交谈。

HTTPS是解决方案吗?已经阅读了关于其充分性和适应性的一些担忧,尽管IT /应用程序安全性背景不是很强,但不太明白,为什么会这样!

我看到ReST正在被讨论(/ raved),并被视为The-thing,并确实看到它的采用率上升,似乎无法理解为什么安全问题不是一个大问题,并且如果是的话,可以采取什么措施。

2 个答案:

答案 0 :(得分:1)

开箱即用,您将不会拥有任何类型的消息级别安全性,并且您需要利用HTTPS来实现传输级别的安全性。

我已经看到人们尝试使用带符号的原子提要,但它与SOAP附带的WS- *堆栈没有任何关系。

答案 1 :(得分:1)

如果您真的非常认真地保护您的服务并避免中间人攻击,您应该向您的客户颁发证书,并且只接受使用这些证书签名的请求。对您和您的客户来说,这是更多的工作,但在企业环境中,额外的努力可能是值得的。这绝对是一个值得研究的选择。