我们将有一个由外包公司创建的网站,该网站会将JSON有效负载中的一些信息发送到我们的RESTful Web服务。用户将在该网站上进行登录和身份验证,因此我们不想知道用户的用户名和密码。我们需要的是确保发送的 JSON 是受信任的网站,然后我们将发回另一个 JSON 有效负载,其中包含我们的一些信息。
我在安全领域很新,所以我用谷歌搜索了一下,发现我们可以使用认证来加密/解密消息。但是,如果我们首先可以识别黑客请求并拒绝该请求,那么解决方案是什么。
根据你的描述,我马上想到了两件事:
- 使用SSL 证书。这已经确保您的 网站正在通过互联网加密传输。
- 使用令牌系统。例如,令牌广泛用于支付解决方案 - 因为信用卡数据永远不应该接触您自己的服务器。所有令牌都包含一些用于证明身份的秘密信息。
- 使用 HTTP 请求标头,例如。基本身份验证
当然,您应该拥有SSL证书。这已经为您的网站增加了很多安全性。
但是,如果我们首先可以识别黑客请求并拒绝该请求,那么解决方案是什么。
好吧,你自己已经回答了。如果您能检测到它,请拒绝它。
保护安心服务的一种简单方法是基本身份验证。 进行 rest 调用的应用程序将提供一个请求标头,例如
Authorization: Basic ZWx1c3VhcmlvOnlsYWNsYXZlde
这不是基于用户的解决方案,而是 Web 应用到 Web 应用程序的解决方案。 所有其他请求都是未经授权的。
https://en.wikipedia.org/wiki/Basic_access_authentication