بخش های اصلی

وب سرویس ها

وب سرویس ها- امنیت

امنیت برای وب سرویس ها خیلی مهمه. با این حال، اعتبارنامه های XML-RPC یا SOAP، امنیتی صریح یا نیازی به اهراز هویت ندارن.

سه مسئله ی امنیتی خاص در رابطه با وب سرویس ها وجود داره:

  • محرمانه بودن
  • اهراز هویت
  • امنیت شبکه

محرمانه بودن

اگه کلاینت، یک درخواست XML برای سرور بفرسته، آیا می توانیم مطمئن باشیم که این ارتباط محرمانه خواهد بود؟

جواب ها را در ادامه مشاهده می کنین:

  • XML-RPC و SOAP در درجه ی اول بالای HTTP اجرا میشن.
  • HTTP از لایه ی سوکت های امنیتی (SSL) پشتیبانی می کنه.
  • ارتباط توسطِ SSL رمزگذاری میشه.
  • SSL یک تکنولوژی ثابت شده ست و بصورت گسترده مستقر شده.

یک وب سرویس مجزا ممکنه شامل زنجیره ای از برنامه ها باشه. برای مثال، یک سرویس بزرگ ممکنه به سرویس های سه برنامه ی دیگه متصل بشه. در این مورد، SSL، مناسب نیست؛ پیام ها باید در هر نود، در مسیر سرویس، رمزگذاری بشن و هر نود یک لینک ضعیفِ بالقوه در زنجیره ایجاد میده. در حال حاضر، هیچ راه حلِ توافق شده ای، برای این مسئله وجود نداره، ولی یک راه حل امیدوار کننده در استاندارد رمزگذاری W3C XML هست. این استاندارد، فریم ورکی برای رمزگذاری و رمزگشایی تمام اسنادِ XML یا فقط برای قسمتی از یک سند XML است. برای اطلاعات بیش تر به این لینک مراجعه کنین: http://www.w3.org/Encryption

اهراز هویت

اگه کلاینت به وب سرویسی متصل بشه، چطوری کاربر را شناسایی کنیم؟ آیا کاربر برای استفاده از این سرویس مجوز داره؟

آپشن های زیر می توانند برای این مسئله در نظر گرفته بشن ولی هیچ اتفاق نظری برای یک شَمای اهراز هویت قوی وجود نداره.

  • HTTP از اهراز هویت پایه ای و Digest بصورت داخلی پشتیبانی می کنه و از این رو سرویس ها به همان روشی که از اسناد HTML محافظت میشه، محافظت میشن.
  • امضای دیجیتالیِ SOAP(SOAP Digital Signature)(SOAP-DSIG) اهرم رمزنگاری کلید عمومی برای امضای پیام های SOAP بصورت دیجیتالی. این مورد این امکان را به کلاینت و سرور میده تا هویت party (ارتباط) را اعتبارسنجی کنن. برای اطلاعات بیش تر به این لینک http://www.w3.org/TR/SOAP-dsigمراجعه کنین.
  • سازمان پیشرفت استانداردهای اطلاعاتی ساختاری (OASIS) روی زبان نشانه گذاری تأمین کننده ی امنیت (SAML)کار می کنه.

امنیت شبکه

در حال حاضر پاسخ ساده ای برای این مسئله وجود نداره و این مسئله موضوع بسیاری از مناظره هاست. اکنون، اگه واقعاً قصد دارین پیام های SOAP یا XML-RPC را فیلتر کنین، یکی از راه هاش اینه که تمام درخواست های HTTP که نوع محتوایشان (content type)، text/xml هست را فیلتر کنین.

راه جایگزین دیگه این که خصیصه ی سرآیندِ SOAPAction HTTP را فیلتر کنین. تولید کننده های فایروال نیز به صراحت ابزاری برای فیلتر کردن ترافیک وب سرویس طراحی کردن.

مبحث آموزشی

وب سرویس ها

Web Services

پرســیدن سؤال جدید

سؤال های تخصصی خود را از ما بپرسید

تبلیغات

دنبال کردن تلگرام کانال سافت اسکیل

https://telegram.me/softskill_ir

آخرین مقالات

عملیات کاربران

خبـرنــامه

Newsletters

در خبــرنـامه سافت اسکیل عضو شویــد تا جدیدترین هـای سایت را بلافاصله در ایمیل خـود دریافت کنیـد