Я работаю в компании, которая разрабатывает программный продукт, который обрабатывает банковские транзакции и дает пользователю представление о его / ее расходах. Наши клиенты (обычно банки) интегрируют продукт в свои онлайн-банки.
У меня есть вопрос об обеспечении связи между онлайн-банком и нашей системой. Прежде чем я задам вопрос, я хочу дать вам некоторое представление.
Банк обычно устанавливает нашу систему на набор серверов в своей среде хостинга.
Мы предлагаем несколько способов интеграции:
- Веб-сервисы - в этом случае банк выполнит вызовы набора сервисов REST на сервере, а затем создаст веб-страницу с результатами (на стороне сервера).
- Iframes - В этом случае банк будет вставлять iframes в свои веб-страницы онлайн-банка. Фреймы содержат веб-страницы, отображаемые непосредственно из нашего веб-приложения.
- Встроенные виджеты - в этом случае банк будет вставлять ссылки JavaScript на свои страницы. Когда документ загружается, виджеты JavaScript будут отображаться самостоятельно с использованием вызовов AJAX. Они общаются с прокси на банковском сервере, который, в свою очередь, связывается с нашим веб-приложением.
В настоящее время у нас есть специальное решение, где мы генерируем и подписываем токены безопасности для пользователей и передаем их вместе с запросами.
Но поскольку у банков очень строгие политики безопасности, им будет легче с нами использовать для связи известный и надежный протокол безопасности. Это большая проблема, которую мы хотим решить.
Итак, вопрос в том, какой протокол лучше всего подходит для случаев использования интеграции, которые я перечислил выше? Существует множество стандартов единого входа, и такие решения, как SAML, oauth и т. Д., Я чувствую, что эти решения могут быть излишними для моей ситуации.
Я хочу найти простое решение. Поскольку серверы будут работать бок о бок в одной и той же хостинговой среде и полностью доверять друг другу, конечному пользователю не нужно будет авторизовать один или другой (или перенаправляться между ними, нажимая кнопки, чтобы открыть доступ к приложению).
То есть протокол безопасности не должен требовать вмешательства со стороны конечного пользователя. Конечный пользователь просто входит в свой онлайн-банк и через защищенную связь получает доступ к данным с нашего веб-сервера.
Итак ... есть предложения?
Большое спасибо!
OGG