Witam,
Nie wiem czy temat pasuje do tego działu ale wydaje mi się że tak. Słuchajcie, wystawiam właśnie API w formie web service'u do komunikowania się systemów zewnętrznych z naszymi. Tym ws-em będą latały dane wrażliwe. Oczywiście sam ws będzie zabezpieczony użytkownikiem i hasłem ale żeby klient mógł się zintegrować za jego pomocą z naszym systemem, musimy mu te dane podać. I teraz zastanawiam się, czy są jeszcze jakieś metody, za pomocą których moglibyśmy się zabezpieczyć przed niepowołanym użyciem usługi. Nie wiem, jakaś brama, jakaś weryfikacja na poziomie sieciowym. Mam małe doświadczenie w tematach security bo wszystko co do tej pory robiłem śmigało w sieci wewnętrznej firmy i nigdy nie wychodziło poza nią.
0
1
Wszystko zależy od tego jak klient będzie się uwierzytelniał, a konkretniej- czym ten klient jest. Inną zautomatyzowaną aplikacją czy użytkownikiem z przeglądarką? Jeśli tym drugim to logicznym wydaje się żeby wprowadzić jakieś sesje, logowanie, i dopiero wtedy uwierzytelnianie połączenia. Oczywiście o HTTPS a co za tym idzie WSS chyba nie trzeba wspominać.
Jeśli oczekuje się że użytkownik to inna aplikacja, lub że osoby zawsze muszą korzystać z Twojej aplikacji w konkretnej lokalizacji, to warto ukryć ją za firewallem zezwalającym na komunikację tylko z konkretnymi adresami IP.
0
Możesz też zainteresować się Azure AD. To właśnie do zabezpieczania WebAPI.