2012-04-09 21 views
1

は、権限のないクライアントへのREST API呼び出しをブロックする手段ですか? APIを限定された数のクライアントに限定して公開する方法はありますか?あなたのクライアントとサーバー間の相互認証SSLを展開することができREST API呼び出しのブロック

+0

あなたがサーバーに接続できるユーザーを確保する必要があります。 – paulsm4

+1

RESTはAPIを公開しません。あなたはRPCと混同しています。 'http:// en.wikipedia.org/wiki/REST' –

+0

あなたがREST以外の何かを意味していると仮定すると、どのサーバープラットフォーム/言語/フレームワークを使用していますか? –

答えて

2

:-)

感謝。ここでは自己署名証明書を使用できるため、CAから購入する必要はありません。これにより、サーバーがクライアント側の証明書を持つクライアントからの要求のみを受け入れるようになります(クライアント認証用にクライアントに展開された自己署名付きクライアント証明書のみを受け入れるようにサーバーを構成します)。

1

あなたがRESTfulなHTTP

を使用している場合は、あなたのRESTメソッドにアクセスする権限のないクライアントを防ぎ、あなたのweb.xmlにHttpServletFilterを追加することができます。

あなたは春のフレームワークを使用し、あなた自身を実装したくないあなたはSpring Security

1

を使用することができますHttServletFilterあなただけので、あなたのRESTfulなサービスにセキュリティメカニズムを実装する必要がある場合は Securing JAX-RS and RESTeasy

を参照してください。不正なクライアントへのアクセスを拒否します(404または401応答コードを使用)。 HTTP認証メカニズムの

  • リレー、Basic Authentication
  • のようにHTTP基本認証の限界を克服カスタム認証フレームワークを、実装します。これを実現する方法はいくつかあります。 Amazonには、カスタムHTTPヘッダーとハッシュをサポートする面白いアプローチがあります。
  • 既存のセキュリティフレームワークを使用して、その機能をサービスに追加します。 Spring Securityは素晴らしいオプションのように聞こえます。