保护网站与我们的 RESTful 网络服务之间的通信
Secure the communication between website and our RESTful web service
我们将有一个由外包公司创建的网站,该网站将 JSON 有效负载中的一些信息发送到我们的 RESTful 网络服务。用户将在该网站上进行登录和身份验证,因此我们不想知道用户的用户名和密码。我们需要的是确保发送的 JSON 是受信任的网站,然后我们将发回另一个 JSON 有效载荷,其中包含我们的一些信息。
我在安全领域还很陌生,所以我用谷歌搜索了一下,发现我们可以使用认证来 encrytion/decrytion 消息。但是,如果我们能够首先识别黑客请求并拒绝该请求,那么解决方案将是什么。
保护您的 restful 服务的一种简单方法是基本身份验证。进行其余调用的应用程序将提供一个请求 header like
Authorization: Basic ZWx1c3VhcmlvOnlsYWNsYXZlde
这不是 user-based 解决方案,而是 webapp 到 webapp 的解决方案。所有其他请求都将未经授权。
根据你的描述,我马上想到了两件事:
- 使用 SSL 证书。这已经确保您的
站点正在通过 Internet 加密传输。
- 使用令牌系统。例如,令牌广泛用于支付解决方案 - 因为信用卡数据永远不应该接触您自己的服务器。所有令牌都包含一些用于证明身份的秘密信息。
- 使用 HTTP 请求 headers 例如。 基本授权
当然,您应该有 SSL 证书。这已经为您的站点增加了很多安全性。
But what will be the solution if we can identify the hack request in the first place and rejecting that request.
嗯,你自己回答了。能检测到就拒收
我们将有一个由外包公司创建的网站,该网站将 JSON 有效负载中的一些信息发送到我们的 RESTful 网络服务。用户将在该网站上进行登录和身份验证,因此我们不想知道用户的用户名和密码。我们需要的是确保发送的 JSON 是受信任的网站,然后我们将发回另一个 JSON 有效载荷,其中包含我们的一些信息。
我在安全领域还很陌生,所以我用谷歌搜索了一下,发现我们可以使用认证来 encrytion/decrytion 消息。但是,如果我们能够首先识别黑客请求并拒绝该请求,那么解决方案将是什么。
保护您的 restful 服务的一种简单方法是基本身份验证。进行其余调用的应用程序将提供一个请求 header like
Authorization: Basic ZWx1c3VhcmlvOnlsYWNsYXZlde
这不是 user-based 解决方案,而是 webapp 到 webapp 的解决方案。所有其他请求都将未经授权。
根据你的描述,我马上想到了两件事:
- 使用 SSL 证书。这已经确保您的 站点正在通过 Internet 加密传输。
- 使用令牌系统。例如,令牌广泛用于支付解决方案 - 因为信用卡数据永远不应该接触您自己的服务器。所有令牌都包含一些用于证明身份的秘密信息。
- 使用 HTTP 请求 headers 例如。 基本授权
当然,您应该有 SSL 证书。这已经为您的站点增加了很多安全性。
But what will be the solution if we can identify the hack request in the first place and rejecting that request.
嗯,你自己回答了。能检测到就拒收