Web Service Security

Nous avons une API qui sera seulement utilisée par notre nouveau site Web pour le moment. Je voudrais avoir une idée de ce que pensent les stackoverflowers de la sécurité en place pour cette API.Web Service Security

1) SSL protégé

2) Lors de la connexion, est envoyé ainsi que l'utilisateur et mot de passe "IP" de l'utilisateur. L'API est ensuite attachée à la session et le jeton de session est renvoyé. Chaque fois que l'appel suivant est effectué, l'ID utilisateur, la session et l'ip sont passés. Ensuite, l'ID utilisateur est vérifié avec la bonne sessiontoken et ip et si c'est bon alors la méthode est effectuée.

3) Le webservice lui-même est protégé pour autoriser l'accès uniquement à partir de l'ip sur lequel le serveur est hébergé.

Merci, Faisal Abid

Source

2010-10-16 Faisal Abid

Mon mauvais, je voulais dire "IP" :) –

Je ne vois pas pourquoi une adresse IP est passée. Cela devrait être tiré de la socket TCP et là pour ne peut être usurpé ou autrement influencé par un attaquant. L'ID de session doit être un Cryptographic Nonce et, idéalement, vous utiliseriez un gestionnaire de session déjà disponible sur votre plate-forme. Il n'y a aucun sens à réinventer la roue.

Source

2010-10-16 23:25:12 rook

Eh bien, comment le script Api obtenir l'adresse IP puisque l'API réside sur un serveur différent du site Web. –

Le site Web fait un appel à l'API, essentiellement le site Web est un «client» pour l'API. –

@Faisal Abid mais, le serveur web utilise l'API non? Pourquoi l'adresse IP du client est-elle utile? – rook

Web Service Security

Répondre

Questions connexes