【发布时间】:2013-09-11 19:28:20
【问题描述】:
这是场景。防火墙外的用户在浏览器中执行 UI 操作。浏览器对系统 A 进行 REST API 调用(并在通过防火墙的入口点或附近进行身份验证和授权)。系统 A(在公司网络防火墙内)对系统 B(也在公司网络防火墙内)进行 REST API 调用。
考虑到系统 A 的入口点已经进行了身份验证和授权,对于从系统 A 到系统 B 的“内部”REST API 调用来说,多少安全性才足够?
【问题讨论】:
-
您只是在询问如何对 REST 调用进行身份验证?
-
“保护”是指“验证凭据/知道用户是谁并确定授权”,还是指“保护它免受嗅探器攻击,以便人们无法读取传输中的数据” ? (或完全不同的东西)
-
@user2246674 - “最佳实践”仅表示 established best practices - 这不是最好的,因为“谁是最好的足球队”(这将是一个相对/意见/基于术语)它是“最佳实践”如“OWASP 推荐的身份验证最佳实践是什么。(不是相对的,不是基于意见的,而是已建立和商定的)
-
这个问题太宽泛了,你没有提到 A 和 B 之间的“安全”要求与“外部世界”发出的请求有什么不同
-
@Taylor 我的查询特定于 Intranet 上下文。因此,可能会使用各种方法来保护对系统 A 的初始调用。但是,如果有的话,我们应该使用什么方法来保护从系统 A 到系统 B 的调用。既然是内部调用,那么多少安全性就足够了?
标签: security rest ssl certificate