アウトソーシング会社によって作成されたウェブサイトをJSONペイロードでRESTfulウェブサービスに送信します。ユーザーはそのWebサイトでログインと認証を行いますので、ユーザーのユーザー名とパスワードを知りたくありません。そして、私たちが必要とするのは、送信元のJSONが信頼できるWebサイトであることを確認してから、別のJSONペイロードを返すことです。ウェブサイトとRESTfulウェブサービス間の通信を確保する
私はセキュリティ領域ではかなり新しいので、私たちがメッセージを暗号化/復号化するために証明書を使用することができることを知りました。しかし、最初にハック要求を特定し、その要求を拒否できる場合、解決策は何でしょうか。
、すぐに私の心の中で二つのことをそこに来ている:
は確かに、あなたはSSL証明書を持っている必要があります。これにより、サイトに既に多くのセキュリティが追加されています。
しかし、最初にハッキングリクエストを特定してそのリクエストを拒否できれば、何が解決策になりますか?
さて、あなた自身で回答しました。あなたがそれを検出することができれば、それを拒否します。
したがって、ペイロードを暗号化するためのHttpヘッダー基本認証+ SSL証明書は、私たちの場合に適した組み合わせのように見えます。 HTTPの基本認証がBase64を使ってユーザー名とパスワードを暗号化しているのは不思議ですが、それは安全ですか?ハッカーがリクエストをハイジャックしてデコードできることを意味します。 – Kuku
必ずしもそうではありません。基本認証は通常Base64エンコーディングで行われます。しかし、あなたがしたい場合は、あなたが望むように暗号化することができます。たとえば、MD5や他の何かがあなたの心に来るとします。すべてをリクエストヘッダーに入れることができます。あなた自身のことを行うほど、攻撃者はあなたの側をハイジャックすることが難しくなります。希望が助けます:D –
ありがとうアンドレアス、それは多くの助けになります。 – Kuku
あなたの安らかなサービスを保護する簡単な方法は、基本認証のようなものです。残りのコールを行うアプリケーションは、ユーザベースのソリューションが、WebアプリケーションソリューションにWebアプリケーションではないであろう
Authorization: Basic ZWx1c3VhcmlvOnlsYWNsYXZlde
このような要求ヘッダーを提供するであろう。他のすべての要求は許可されません。あなたの説明のよう
単純ですが、HTTPSを使用します。 – zaph