Интеграция на базе Интернета или SOAP для мобильных приложений

Question

Я ищу некоторые входные данные для архитектуры мобильного приложения предприятия.Это крупная организация с сотнями существующих веб-сервисов на основе SOAP для использования веб-приложениями.Мы используем служебные учетные записи для аутентификации и авторизации приложений к веб-сервисам (Приложение-N с определенным именем пользователя и паролем для связи с веб-сервисом-N).Эти приложения размещены на рынке Android и в iTunes (приложения для iPad и Android).Мы также нуждаемся в едином входе на основе SAML для этих мобильных приложений (OAuth в настоящее время не поддерживается).

Я предлагаю подход на основе веб-интеграции для использования этих веб-служб из этих приложений вместе спрокси-сервер для перехвата этих запросов от мобильных приложений.Таким образом, поток будет выглядеть следующим образом:

1. Мобильное приложение связывается с прокси-сервером с использованием HTTP и JSON. Весь рабочий процесс единого входа SAML обрабатывается мобильным приложением, поставщиком услуг, который является прокси-сервером, и сервером идентификации.
2. Прокси-сервер взаимодействует с веб-службами, используя служебную учетную запись, маршаллизирует и демарширует запросы и ответы в JSON.

Преимущество такого подхода:

1. Кроссплатформенная разработка мобильных приложений благодаря веб-подходу, на который указывают: Какая работа была проделана по кроссплатформенной разработке мобильных приложений?
2. Упрощенная интеграция безопасности на основе SAML благодаря протоколу HTTP в отличие отв SOAP.

Я также вижу следующие проблемы с SOAP для этого проекта:

1. Некоторые попытки использовать проверку подлинности SAML в запросе SOAP?
2. Поскольку проверка подлинности веб-службы выполняется с использованием учетных записей служб, вам необходимо встроить пароль для веб-службы в мобильное приложение.код, который я рассматриваю как проблемы с безопасностью
3. Маршаллинг и демаршаллинг запросов и ответов SOAP дороже по сравнению с JSON для мобильных устройств.
4. Так как нам нужно внедрить секрет (пароль)в устройстве для связи с веб-сервисом, что является проблемой безопасности.http://www.performantdesign.com/2009/09/03/facebook-iphone-session-proxy-in-php-fbsession-getsessionproxy/ Таким образом, этот сервер приложений действует как прокси-сервер сеанса.

Имеет ли это смысл?Есть ли недостатки в этом подходе?

Большое спасибо заранее

Answer 1

В действительности, выбранный вами протокол не повлияет на количество уязвимостей или недостатков дизайна, которые разработчик собирается реализовать. Вы можете создать очень безопасный API, используя любой технолгой.

Настоящая сила SOAP заключается в том, что файл WSDL можно использовать для создания автоматических тестов безопасности для службы. Поэтому, когда разработчик совершает ошибку, вы можете ее обнаружить. Перед выпуском новой версии API обязательно протестируйте код, например, WSFuzzer .

SOAP также имеет такие функции, как шифрование и аутентификация, встроенные в протокол, поэтому вам не нужно заново изобретать wheal.