OSB 安全性,是否值得保护代理服务和业务服务
OSB Security, is it worthwhile securing Both the Proxy Service and The Business Service
OSB 安全性,同时保护代理服务和业务服务是否值得?
或者只是代理服务?
换句话说,如果业务服务没有配置安全,这会不会是一个安全漏洞?
我将 link 为您介绍文档的几个部分:
- 9.4 Security and Security Policies for Business Services
- 49.2 Security and Security Policies for Business and Proxy Services
现在,当您说 "if the business service is insecure" 时,您实际上是在指出需要理解的内容。您能否从为其编写代理服务的代理服务之外的上下文中调用业务服务?我想说的是,您可以从 OSB 中的 ANY 代理服务调用很多业务服务,所以如果您觉得在 OSB 级别,您担心某些开发人员可能会编写一些反对的代码您的业务服务并调用它而无需提供某种 authentication/authorization,您可能需要保护它。
此外,如果您能够从盒子外调用业务服务(就像您使用代理服务所做的那样),那么您可能会面临与让任何人访问相同的问题如果他们碰巧找到了 URL,请调用该服务。
这可能不是最佳答案,但我认为您的问题可以通过一些提炼来更具体地提出,"Can Business Services be invoked directly from outside of SBConsole?",很遗憾,我没有适合您的答案。
我认为 "What vectors can an OSB Business Service be invoked from?" 是一个更好的问题,因为它指出您必须查看何处以确保人们不会试图直接调用您的敏感业务服务。
在我看来,单独保护代理服务是可取的。与代理服务不同,业务服务没有端点 URI 可以通过 Internet 将它们暴露给其他服务/代理。因此,除非开发人员明确 "References" 他对您正在使用的业务服务的代理服务,否则我认为确保业务服务免受其他代理、客户的错误使用没有任何意义。
请注意,出于与上述相同的原因,我们只向外部世界(客户端、其他服务等)公开代理,而不向业务服务公开。业务服务仅用于连接到端系统(遗留系统、其他 web 服务、JMS 队列、siebel 系统等)
OSB 安全性,同时保护代理服务和业务服务是否值得?
或者只是代理服务?
换句话说,如果业务服务没有配置安全,这会不会是一个安全漏洞?
我将 link 为您介绍文档的几个部分:
- 9.4 Security and Security Policies for Business Services
- 49.2 Security and Security Policies for Business and Proxy Services
现在,当您说 "if the business service is insecure" 时,您实际上是在指出需要理解的内容。您能否从为其编写代理服务的代理服务之外的上下文中调用业务服务?我想说的是,您可以从 OSB 中的 ANY 代理服务调用很多业务服务,所以如果您觉得在 OSB 级别,您担心某些开发人员可能会编写一些反对的代码您的业务服务并调用它而无需提供某种 authentication/authorization,您可能需要保护它。
此外,如果您能够从盒子外调用业务服务(就像您使用代理服务所做的那样),那么您可能会面临与让任何人访问相同的问题如果他们碰巧找到了 URL,请调用该服务。
这可能不是最佳答案,但我认为您的问题可以通过一些提炼来更具体地提出,"Can Business Services be invoked directly from outside of SBConsole?",很遗憾,我没有适合您的答案。
我认为 "What vectors can an OSB Business Service be invoked from?" 是一个更好的问题,因为它指出您必须查看何处以确保人们不会试图直接调用您的敏感业务服务。
在我看来,单独保护代理服务是可取的。与代理服务不同,业务服务没有端点 URI 可以通过 Internet 将它们暴露给其他服务/代理。因此,除非开发人员明确 "References" 他对您正在使用的业务服务的代理服务,否则我认为确保业务服务免受其他代理、客户的错误使用没有任何意义。
请注意,出于与上述相同的原因,我们只向外部世界(客户端、其他服务等)公开代理,而不向业务服务公开。业务服务仅用于连接到端系统(遗留系统、其他 web 服务、JMS 队列、siebel 系统等)