RESTとJSONの保護

Question

RESTfulアーキテクチャを利用してJSONデータを処理するWebサービスを構築したいと考えています。

しかし、自分のウェブアプリケーションからリクエストできるクライアントアプリのみが必要です。

基本的に私のWebサービスには機密データが含まれていますが、私のWebサービスに接続する多くの異なるクライアントアプリケーションを構築できるようにその方法を構築したかったのです。

ありがとうございます、ありがとう、ありがとう。

Answer 1

Webサービスのセキュリティ保護に関して、RESTfulであることやJSONを使用しているということは、関連する要素ではありません。どんなWebサービスも同じ方法で保護する必要があります。

1. 可能であれば、インターネット上でWebサービスをホストしないでください。たとえば、Webサービスがあなたの会社のLAN内でホストされている場合、ルータを介してWebサービスを公開していない限り、公開されることはありません。
2. 認証と認可のルールを設定します。 Windowsドメイン内でWebサービスをホストする場合は、Windows認証を使用し、Active Directoryのユーザーとグループに基づいてルールを設定するだけです。その他のオプションは、HTTP認証、クライアント証明書認証、または.NETで開発する場合はフォーム認証を使用することです。
3. 特にインターネット上でWebサイトがホストされている場合は、暗号化（HTTPS）を使用します。

Answer 2

これを行うには、いくつかのことが必要です。まず、サービスクライアントは、要求を行うために（HTTPSを介して）サービスに対して認証する必要があります。クライアントが認証されると、クライアントがこのトークンに含める必要があるプライベートトークンを返すことができます。妥当な時間の経過後にトークンが期限切れになり、セキュアなアルゴリズムを使ってトークンを生成する限り、これは必要な処理を行うはずです。

さらに厳しいセキュリティ要件がある場合は、Jakobの提案に従うか、要求を行う前にクライアントにVPNセッションを開始させることができます。