有哪些好的技术可以保护服务器到服务器的 REST 通信?对于涉及人机设备的通信,如浏览器、移动电话,OAuth 和 SAML 是不错的选择,但它们也是服务器到服务器事务的最佳选择吗?
我最感兴趣的是协议/应用层技术。
答案1
这是一个非常广泛的问题,你不会有一个单一的、适合所有情况的解决方案,而且很多时候你可能会叠加多种方法。
您可能主要在网络层进行安全和身份验证,仅在特定网络段中运行服务。需要 VPN 连接或 IPSec 也属于这种方法。
防火墙始终是个好主意,默认情况下拒绝一切,只打开明确允许的内容。与公共服务相比,服务器通常具有静态 IP 地址,允许更严格的 ACL。
您可能希望在协议层、https 和普通用户名/密码(或其他身份验证)或 HTTPS 和客户端证书的相互身份验证上进行安全和身份验证。
您可能希望保护并验证传输的实际消息,并考虑使用类似 HMAC 的技术。
可能还有很多,这也取决于你对环境的控制程度。