我希望公开一个可由多个客户端调用以检索事务数据的 Web 服务。每个调用客户端将检索不同的数据子集。

我们在 Websphere 7 中托管 Web 服务——外部 Web 服务本质上是在我们的 ESB 平台上运行的真实 WS 的代理。

目前我有以下安全措施:

1) WS-Security 用户名/密码在头部(植物文本)中发送。这是针对我们的自定义存储库进行身份验证的(该存储库在其他地方正在使用并且已经过安全测试)。

2) HTTPS

3)通过防火墙限制调用IP

4) 有效载荷数据使用客户端公钥进行 PGP 加密

这是否“足够”安全?我很确定有效载荷数据是安全的,但我不完全确定访问机制是否 100% 安全?我们正在使用 IBM Websphere 的内置内容来实现 #1。

最佳答案

好吧,当您使用 HTTPS 时,您不必担心以明文形式发送密码。因此,只要您的身份验证正常工作(您说 repo 已经过安全测试),这就是非常安全的。

此外,您使用 PGP 加密了有效负载,这确实是安全的 - 至少只要所有各方都小心处理他们的 key 。

--> 你所描述的对我来说听起来相当可靠,尤其是 PGP 的异步加密基本上是不可攻击的(除非你考虑社会工程)。

也许是最后一个想法(但我想你不需要这个建议):
我不了解 Websphere,但在其他应用程序服务器或 ESB(例如 JBoss)中,默认情况下会激活一些管理工具,这些工具往往可以通过网络免费访问(只需谷歌搜索/jmx-console ...)。确保使用密码保护这些密码或在需要时停用它们。

10-08 13:18
查看更多