0

重複の可能性:
httpsを介して機密データを送信することはどの程度安全ですか?
JSONデータからWebサービスへ-期待されるJSONデータをどのように定義するか

ペイロードとしてJSONを受け入れるRESTWebサービスを構築しています。今、私のWebサービスは非常にシンプルです。クライアントシステムからデータを受け取り、システムに注文を作成するだけです(Webサービスは基本的に既存の機能のラッパーです)。

ここで、アプリケーションのユーザー名とパスワードを使用してユーザーを認証します。送信するJSONデータにユーザー名/パスワードを入力するように依頼するだけですか?これは安全ですか?

サービスはHTTPSを介して実行されます。

4

1 に答える 1

0

上記のコメントにも書いたように、あなたが知りたいことは本当に明確ではありません. おそらく、「依存する」可能性がたくさんあるからです。

何ができるか見てみましょう:

  1. 認証をトランスポート層 (ここでは HTTP) に置くことができます。これにより、(Web) サーバー レベルなどで、かなり早い段階で認証を行うことができます。
  2. JSON ペイロードを使用して資格情報を渡し、アプリケーション内で認証できます。これは 1 と組み合わせることができます。
  3. 認証されたセッションを作成し、セッション キーを渡すことができます。API リクエストにはセッションが必要です。それ以外の場合、API リクエストは受け入れられません。これは 2. と 3. と組み合わせることができます。

トランスポート層が十分に安全である限り (ここでは TLS/SSL)、好きなことをしてください。選択したパターンによっては、さらに作業が必要になります。

また、多くの場合、ユーザー資格情報の隣には、認証で何らかの役割を果たすことができるエンティティに各 API リクエストをマップできるようにするために Web サービスによって使用される、いわゆる API キーがあります。ただし、API キーはユーザー名とパスワードが 1 つになったようなものなので、それほど柔軟ではありません。

于 2012-09-26T12:51:56.427 に答える