7
Digamos que tenemos un sitio web que usa un servicio web para todas sus funciones (es decir, para recuperar y actualizar datos de/a db), ¿cómo autentica las solicitudes el servicio web?Seguridad y autenticación en servicios web
Según tengo entendido, en un "sitio web" java tradicional, un usuario proporciona un nombre de usuario & contraseña y, una vez validado, se asigna una jsessionid al usuario (navegador del cliente). El navegador del cliente le pregunta al sitio web algo, el sitio comprueba el jsessionid y garantiza que el usuario esté registrado y autenticado. ¿Hay un servicio web equivalente a esto? Si es así, ¿qué?
Aunque no está disponible "públicamente", hay un par de situaciones que pueden ser problemas de seguridad. Por ejemplo, supongamos que el sitio web utiliza JavaScript (es decir, dwr) o aplicaciones flexibles para comunicarse directamente con el servicio web, en lugar de a través del sitio web. Si bien el servicio no está disponible "públicamente", un usuario decente puede deducir de la javascript o flex por lo menos la dirección del servicio web y tratar de usar mal esa información. Este es el tema que me causa curiosidad. – King
Dado que JavaScript y Flex son aplicaciones que se ejecutan en el cliente, esto significa que su servicio web * está * disponible públicamente. –