безопасность веб-сервиса json
У меня есть проблема относительно json безопасности веб-сервиса. Я попробовал к разработанному демонстрационное веб-приложение с помощью json веб-сервис, но проблемой является URL, был выставлен на стороне клиента. Таким образом, оттуда кто-либо может сделать программу и назвать сервис в течение тысячи раз. Обратите внимание, что веб-сервис будет использовать для регистрационной страницы, на которых, проверках если пользователь был, существуют на базе данных. Таким образом, нет никакой аутентификации, произошедшей на этом процессе.
Что подход должны защитить вызов выставленного веб-сервиса?
3 ответа
Это то, что я бы сделал :
Поместите уровень аутентификации между веб-службой и внешним миром (т.е. вместо того, чтобы сделать вашу веб-службу общедоступным интерфейсом, сделайте уровень аутентификации общедоступным API).
Получите уровень аутентификации, чтобы затем вызвать веб-службу от имени вызывающего.
Таким образом, вы можете реализовать бизнес-логику на уровне аутентификации - например, просто откажитесь от вызывающего абонента, который пытается выполнить DOS-атаку или вызывает с ненадежного IP-адреса и т. д.
Также ваш API является внутренним, поэтому никто не может его вызвать (вы можете реализовать дополнительную логику в веб-сервисе, чтобы гарантировать что он обрабатывает только запросы от localhost.
Я бы использовал именно такую конфигурацию. Как правило, не рекомендуется предоставлять API для публики, если только вы не хотите, чтобы люди вызывали его и, возможно, время от времени злоупотребляли им.
100% защиты не существует. В любом случае кто-нибудь может создать программу и воспользоваться вашим сервисом. Вы просто можете заставить программиста работать усерднее.
Главное, что вы можете сделать, это сделать задержку перед возвратом результата и ограничить количество подключений с одного ip. Также вы можете указать что-то вроде идентификатора сеанса (срок действия которого истекает через 5-10 минут) на странице регистрации, который должен существовать в вашем запросе на обслуживание.
Вы можете фильтровать запросы по IP-адресу вызывающего абонента. Если IP-адрес вызывает ваш API, скажем, 100 раз в минуту, это злоупотребление, и вы блокируете из него следующие соединения. Не забывайте время от времени разблокировать IP-адреса, чтобы соблюдать динамические IP-адреса.