在我的情况下，ReSTful webservice 真的是答案吗？答案

【问题标题】：Is ReSTful webservice really the answer in my case?在我的情况下，ReSTful webservice 真的是答案吗？
【发布时间】：2011-08-15 01:25:00
【问题描述】：

想知道在我的企业应用程序中，ReSTful webservice 是否真的是答案与真实服务器等对话。

HTTPS 是解决方案吗？阅读了一些对其充分性和适用性提出的担忧，尽管在 IT/应用程序安全方面的背景不那么强大，但不太明白，为什么会这样！

我看到 ReST 被谈论（/狂热），并被预测为 The-thing，并且确实看到它的采用率正在上升，但似乎无法理解为什么安全问题不是那么大的问题，并且如果是的话，可以采取什么措施。

【问题讨论】：

您对 HTTPS 有什么顾虑？
@darrel-miller，进一步澄清了我的问题。老实说，我不知道 HTTPS 是否足够，因为我刚开始阅读 ReST，令人惊讶的是，该文本没有谈论任何关于安全性的内容。我无法理解，如何谈论通过 HTTP 公开客户列表、客户详细信息、订单列表、订单详细信息，即使它是针对企业 Intranet 的。这让我相信文本只是一个简单的介绍，还有很多要理解的内容。
彻底阅读 HTTPS 和 SSL/TLS 来满足您对协议的担忧。 Darrel 的暗示是（我假设）HTTPS 可能会满足您的安全要求，我同意。

【解决方案1】：

如果您真的很想保护您的服务并避免中间人攻击，您应该向您的客户颁发证书，并且只接受使用这些证书签名的请求。这对您和您的客户来说是更多的工作，但在企业环境中，额外的努力可能是值得的。这绝对是一个值得研究的选择。

【讨论】：

【解决方案2】：

开箱即用，您不会拥有任何类型的消息级别安全性，您需要利用 HTTPS 来实现传输级别安全性。

我看到人们尝试使用签名的 atom 提要，但它与 SOAP 附带的 WS-* 堆栈相比根本不值一提。

【讨论】：

感谢您的回答。在发布我的问题和现在之间，我已经阅读了更多内容，因此可以感谢您的回复。一些人建议 OAuth2.0 作为答案，而 OAuth 的设计者/发明者继续在他的博客上声称 OAuth2.0 的缺点。我目前的理解是，OAuth2.0 构造（所有这些我还不了解）以及 SSL 似乎解决了所有当前的安全问题。但是，这是唯一的解决方案，还是有其他方法？随着时间的推移，大规模 SSL 证书 mgt/admin，似乎是相当具有挑战性的操作。