Какие методы можно использовать для защиты веб-сервисов?

Question

Мне интересно узнать, какие методы люди используют для защиты своих веб-сервисов от неавторизованных потребителей веб-сервисов.

Answer 1

Я использовал как SOAP-заголовки, так и параметры метода для передачи пользовательских учетных данных - .NET делает использование SOAP-заголовков довольно простым, но у меня были проблемы с этим при использовании Java (несколько месяцев назад). Я также делаю некоторую фильтрацию на основе IP, если служба предназначена не для использования клиентом (браузером), а скорее с серверных веб-серверов. Общедоступные веб-службы, используемые браузером, часто защищены сессионными cookie-файлами, т. Е. Требуется действительный вход на веб-сайт, затем для запросов через AJAX к веб-службам используется стандартный механизм аутентификации сессии.

Answer 2

Существует протокол специально для безопасности веб-сервисов WS-Security . Я использовал его части в прошлом, но в то время в .Net его не было большой поддержки, поэтому было много работы.

В настоящее время с .Net я использую заголовки расширений SOAP. У меня есть один вызов веб-службы для проверки подлинности и получения токена сеанса, а затем включения этого токена в заголовок SOAP для каждого последующего вызова, что несколько похоже на этот пример . Конечно, весь запрос должен проходить через TLS, чтобы не допустить его компрометации.

Answer 3

Обычно я требую, чтобы идентификатор пользователя / пароль отправлялся каждый раз, или возвращал токен из первого аутентифицированного соединения, которое можно использовать впоследствии.

Ничего особенного. Очень похоже на стандартный вход в веб-приложение.

Answer 4

Вы можете использовать сетевые устройства, такие как IBM DataPower или Vordel, если вы не хотите обрабатывать их в своем приложении.