私はいくつかのアドバイスが必要な建築上の質問があります。クライアントとRESTfulサービス間のセキュリティ
私は現在iOS、AndroidとWeb Browserに展開する計画でIonic2で書かれたクライアントを持っています。
AWSで稼働しているJava8/Spring RESTful Web ServicesのTomcatサーバーがMYSQLデータベースと通信しています。
私はFirebase Authenticationも使用しています。ユーザーはログインしていないとアプリにアクセスすることができ、ログインするとさらに機能にアクセスできます。
したがって、ユーザーデータは、uidをキーとしてFirebaseに格納されます。対応するユーザーデータは、MYSQLデータベースにも格納されています。
また、PayPal支払いゲートウェイを追加する予定です。
質問
私は、セキュリティアーキテクチャの専門家ではないです。だから私の質問は、どのようなセキュリティ上の配慮が必要ですか?
PayPal apiとやりとりしているため、Payment Gatewayは安全と思われます。
第2に、現在Ionic2アプリはHTTPでJava RESTful Servicesと通信しています。これらのリクエスト/レスポンスコールを保護する必要がありますか?
RESTful Serviceコールに関しては、機密情報を一度だけ転送するので、その情報を保護したいと考えています。それ以外の場合は、機密情報はありませんが、私はこのアプリを悪意のある行為の対象にしたくありません。
ご覧のとおり、これは非常に未解決な質問ですが、私はそれに従う正しいアーキテクチャパスについてのガイダンスを探しています。
アドバイスありがとうございます。