Database 使用web服务保护数据库

有传言说，我公司的团队不久将在未来的应用程序开发中使用web服务。架构应该是这样的：

应用程序-->Web服务-->数据库

背后的理由是安全。这听起来像是在浪费大量的时间，如果说有什么好处的话，那也太少了。我的问题是，web服务在哪些方面比数据库更安全？我认为，如果攻击者想要获取您的所有数据，并且已经进入了应用服务器，那么了解应用程序是如何获取数据的就相当简单了

---

请记住，这些web服务纯粹用于数据，几乎没有任何业务/验证逻辑，也不受应用程序开发人员的控制（至少以前使用过web服务的所有应用程序都是这样）.

如果您使用Web服务，希望在将数据发送到数据库时也会使用某种队列。如果您使用的是webservice和queue组合，那么安全性就可以降低数据丢失的可能性。如果您没有webservice和queue组合，如果您将数据发送到数据库，但数据从未到达数据库，那么您就没有Web服务和队列组合，它就会消失

---

你是对的，但是如果有人想闯入你的系统，Web服务不会有任何帮助，如果你将Web服务公开，他们会找到你的Web服务的名称，那么他们就可以使用Web服务查询你的数据库，服务器上的任何安全功能都会认为是你应用程序获取信息。

Web服务的一个重要方面是互操作性，以便来自不同平台的不同应用程序以后可以利用这些服务和数据。这样做会让你的公司受益匪浅。关于安全性，您是对的，这绝对是使用web服务而不是公开数据库的公共端点的一个好理由，这是危险的

Web服务支持数据的可访问性，例如，可以通过javascript在浏览器中访问数据。在Javascript中无法直接访问服务器上的数据库

---

总之，这是正确的方法。

如果web服务上确实没有业务逻辑或验证，那么添加额外的抽象层只会带来有限的安全好处。我之所以说是受限的，是因为应用程序和数据库之间的接口仍然比它们直接相互通信时受到更大的限制

---

如果将验证和业务逻辑添加到等式中，则会带来显著的安全好处，因为任何有权访问应用程序帐户的人都只能执行应用程序能够执行的数据库操作。此外，这是一个更好的设计，因为它减少了应用程序与数据库中数据存储方式的实现细节之间的耦合。如果要更改数据库模式，只需更新web服务，而不需要更新整个应用程序。

安全参数有问题；对web服务进行身份验证与对数据库进行身份验证没有什么不同

---

一般来说，将db操作转移到web服务和SOA是有正当理由的，但安全性不是其中之一

在您的帖子中，您没有提到数据库事务。如果您使用带有队列的Web服务，则我的帖子是正确的。我看不出仅仅因为你不喜欢答案就投反对票的理由。请详细说明web服务是如何更安全的？如果你用原始流和公共IP:port公开数据库，你认为黑客会对它做什么？没有人说要用原始流和公共IP:port公开数据库。事实上，上面提出的架构表明，即使是Web服务也将完全与internet断开。