设计安全的Rest服务
真的不太确定该怎么做,我希望你们能给我一些建议。我是唯一的开发者,我真的没有其他人可以问。我对这一切都很陌生,所以我有点不知所措,但如果有更好的地方问这个问题,请务必让我知道 因此,情况如下。 我已经写了一个mcv rest服务,我想通过我正在开发的移动应用(主要是iOS,android)。 此服务将部署到多个IIS服务器(其中一些我无法控制或直接访问),供不同的客户使用,因为它旨在与本地安装的第三方软件集成 目前,安全性还不是很重要,一切都是通过http进行的。数据的性质不是很敏感,但随着我对功能的扩展,我开始看到一个相当大的安全问题 起初我认为我可以实现ADFS来提供安全层,但在我看来,它只处理身份验证。我不相信它在做任何类型的传输/消息安全。今后,身份验证将在第三方软件中处理,因此我有95%的信心可以从等式中删除ADF 所以我想的是两种选择之一设计安全的Rest服务,rest,api,security,Rest,Api,Security,真的不太确定该怎么做,我希望你们能给我一些建议。我是唯一的开发者,我真的没有其他人可以问。我对这一切都很陌生,所以我有点不知所措,但如果有更好的地方问这个问题,请务必让我知道 因此,情况如下。 我已经写了一个mcv rest服务,我想通过我正在开发的移动应用(主要是iOS,android)。 此服务将部署到多个IIS服务器(其中一些我无法控制或直接访问),供不同的客户使用,因为它旨在与本地安装的第三方软件集成 目前,安全性还不是很重要,一切都是通过http进行的。数据的性质不是很敏感,但随着我对
还是有其他的选择我应该考虑?< /P>看看ListScript。这是一个相当新的,但对于购买证书来说是一个非常有前途的SSL替代方案。我绝对不是一个安全专家。我将我的MVC应用程序部署到azure,它只做开箱即用的SSL——我不需要做任何事情。顺便说一句,您在这里混淆了一些安全概念-身份验证、授权和传输加密都是不同的东西-似乎您只在这里使用传输加密。您确实需要考虑:任何匿名人员是否可以在不登录的情况下访问您的端点,并使其完成一些工作?如果是这样的话,你是在向别人敞开心扉attack@Nick.McDermaid是的,我可能把这搞混了。是的,这是我正在处理的传输加密,就像我说的Azure只是在默认情况下做的一样-没有配置或证书购买或任何东西(AFAIK)。我不会花任何时间建造你自己的