如何保护REST Web服务?
[英]How can secure a REST web service?
问题描述
我正在攻读Spring核心认证,我对REST Web服务和我正在研究如何应用于Spring框架有一些疑问。
所以我对基于我的学习材料的这个问题有一些疑问,但我找不到答案。
所以问题是(我不知道这些问题是彼此相关的):
REST安全吗? 你能做些什么来保护它?
REST是否与传输层安全性(TLS)一起使用?
我已经了解了REST Web服务是如何工作的,我知道它使用Http方法来访问资源并实现CRUD操作,但是什么意味着要求REST是否安全? 在这种特定情况下,安全是什么意思?
什么是REST中的TSL究竟是什么?
2 个解决方案
解决方案1
3 已采纳 2015-04-10 15:11:16
1. REST安全吗? 你能做些什么来保护它?
REST是一种范例。 它不是完成的协议或实现。 有一些机制可以保护RESTful Web服务(一种是TLS),但默认情况下REST并没有说明任何内容。
OWASP可以很好地概述REST安全主题以及如何保护RESTful Web服务:
什么是安全性?:
请注意,信息安全有不同的安全目标:
- 保密
- 廉正
- 可用性
所有人都需要不同的安全措施。 有些无法单独通过Web服务(REST)处理。 (例如,可用性意味着服务器本身是安全的,并且您的安全措施会再次受到dDoS攻击。)
它并没有很好地定义REST的详细内容,它不是官方标准或规范。 我会说REST本身并不安全。 您可以围绕它构建机制来保护它(如TLS,令牌身份验证)。 其中许多措施与REST直接无关。
2. REST是否与传输层安全性(TLS)一起使用?
是。 传输层安全性可以加密与RESTful Web服务的通信,并向客户端验证服务器。 ( 机密性和一些延伸完整性 )
解决方案2
1 2015-04-10 15:15:33
这取决于 。 安全是关于权衡,而不是简单的是/否问题。 REST本身并不安全或不安全; 这取决于你如何实现它。 一个例子是SQL注入攻击:REST的使用与系统是否阻止它们无关。 另一个例子是授权访问:REST本身并不限制对其公开的资源的访问。 如果您需要保证这些资源只能在本地访问,那么使用REST将更难确保这些资源。
2.一般是的 。 现成的服务器支持TLS,但使用REST进行通信的完全从头开始编写的程序可能无法实现TLS代码(这是一个相当不切实际的情况,但我为了完整性而将其包括在内)。
如何在Java EE 6中保护REST Web服务
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.