Общий подход - это звук.Однако я бы не только полагался на доступ, ограниченный localhost.Одна неверная конфигурация в более поздний момент времени представит ваш платежный веб-сервис.Кроме того, если сервер скомпрометирован, любой процесс, запущенный на этом локальном хосте, будет иметь непроверенный доступ.
Всегда использовать аутентификацию для защиты вашей платежной веб-службы.
Если вы должны развернуть службу аутентификации натот же физический блок, что и на интерфейсных веб-сайтах, особое внимание уделяйте обеспечению платежного сервиса (например, если вы храните номера кредитных карт или PII, связанные с кредитными счетами, например, имя, адрес, ... убедитесь, что база данных надежно защищена).Если возможно, разместите платежные сервисы на дополнительном уровне отдельно от общедоступных (или обращающихся к коллегам) веб-сайтов, защищенных соответствующими правилами брандмауэра.