Proteger REST y JSON

Question

Quiero construir mis servicios web que brinden datos JSON utilizando la arquitectura RESTful.

Pero solo quiero mis propias aplicaciones cliente que puedan solicitar desde mis servicios web.

Básicamente, mis servicios web contienen datos confidenciales que no son para el consumo público, pero quería construirlos de esa manera para poder construir muchas aplicaciones de cliente diferentes que se conectan a mi servicio web.

Agradecería cualquier idea para esto, gracias.

Answer 1

El hecho de que sea RESTful o use JSON no es un factor relevante cuando se trata de proteger un servicio web. Cualquier servicio web debería estar protegido de la misma manera. Hay algunas cosas que debe hacer:

1. Si es posible, no aloje su servicio web en Internet. Si el servicio web está alojado dentro de la LAN de su empresa, por ejemplo, no estará expuesto al consumo público a menos que lo exponga específicamente a través de su enrutador.
2. Configure las reglas de autenticación y autorización. Si aloja su servicio web dentro de un dominio de Windows, simplemente puede usar la autenticación de Windows y establecer reglas basadas en usuarios y grupos de Active Directory. Otras opciones son usar autenticación HTTP, autenticación de certificado de cliente o, si está desarrollando en .NET, autenticación de formularios.
3. Use el cifrado (HTTPS), especialmente si su sitio web está alojado en Internet.

Answer 2

Solo necesita un par de cosas para hacer esto. En primer lugar, el cliente de servicio deberá autenticarse contra su servicio (a través de HTTPS) para realizar una solicitud. Una vez que el cliente está autenticado, puede devolver un token privado que el cliente debe incluir con este token. Siempre que el token caduque después de un período de tiempo razonable, y se use un algoritmo seguro para generarlo, esto debería hacer lo que desee.

Si tiene requisitos de seguridad más estrictos, puede seguir la sugerencia de Jakob o hacer que el cliente inicie una sesión de VPN antes de realizar las solicitudes.