Защита REST и JSON

Question

Я хочу создать свои веб-сервисы, обслуживающие данные JSON, используя архитектуру RESTful.

Но я хочу, чтобы мои собственные клиентские приложения могли запрашивать мои веб-службы.

В основном, мои веб-сервисы содержат конфиденциальные данные, которые не предназначены для общественного потребления, но я хотел создать его таким образом, чтобы я мог создавать множество различных клиентских приложений, которые подключаются к моей веб-службе.

Поблагодарите за это идеи, спасибо.

Answer 1

Тот факт, что это RESTful или использует JSON, не является важным фактором, когда дело доходит до обеспечения безопасности веб-службы. Любой веб-сервис должен быть обеспечен таким же образом. Есть несколько вещей, которые вы должны сделать:

1. Если возможно, не размещайте веб-службу в Интернете. Например, если веб-служба размещается в локальной сети вашей компании, она не будет подвергаться общественному потреблению, если только вы не разоблачили ее через маршрутизатор.
2. Настройте правила авторизации и авторизации. Если вы размещаете свой веб-сервис внутри домена Windows, вы можете просто использовать проверку подлинности Windows и настроить правила на основе пользователей и групп Active Directory. Другие варианты использования HTTP-аутентификации, проверки подлинности сертификата клиента или разработки в .NET, проверки подлинности форм.
3. Используйте шифрование (HTTPS), особенно если ваш веб-сайт размещен в Интернете.

Answer 2

Вам просто нужно сделать пару вещей, чтобы сделать это. Во-первых, клиент услуг должен пройти аутентификацию против вашей службы (через HTTPS), чтобы сделать запрос. Как только клиент будет аутентифицирован, вы можете вернуть закрытый токен, который клиент должен включить с этим токеном. Пока токен истекает через разумное время, и для его создания используется безопасный алгоритм, это должно делать то, что вы хотите.

Если у вас более строгие требования безопасности, вы можете следовать предложению Якоба или попросить клиента начать сеанс VPN перед запросом.