webservice
- 面向服务的架构便于不同系统集成共享数据和功能
- 适合不想暴露数据模型和程序逻辑而访问数据的场景
两种类型的webservice
- Simloe object access protocol (SOAP)
- 传统的webservice ,xml是唯一的数据交换格式
- 更多采用于要求安全性的应用
- restful(Representational State Transfer architecture——REST)
- 目前更多被采用的轻量级webservice,JSON是首选的数据交换格式
web service 安全考虑
- 市用API key 或session token 实现和跟踪身份认证
- 身份认证由服务器完成
- API key,用户名,Session token 不要通过URL发送
- RESTful默认不提供任何安全机制,需要使用SSL/TLS保护传输数据安全
- SOAP提供强于HTTPS的WS-security机制
- 使用OAuth或HMAC进行身份验证,HMAC身份认证使用C/S共享的密钥加密API Key
- RESTful应只允许身份认证用户市用PUT、DELETE方法
- 市用随机token防止CSRF攻击
webservice安全考虑
- 对用户提交参数过滤,建议部署基于严格白名单的方法
- 报错信息消毒
- 直接对象引用严格身份验证
web service
原文地址:https://www.cnblogs.com/huzhendong/p/10536704.html