【发布时间】:2017-06-30 17:19:43
【问题描述】:
我已经阅读了几天的安全文章,但没有接受过该领域的正式培训。我正在为物联网设备开发配置和管理应用程序。它既可以在内部网络上运行,也可以通过网络访问。
我的应用程序将供 IT 管理员、经理和工厂工人使用。根据安装情况,将有不同级别的基础设施到位。它可以在地板上的笔记本电脑上、服务器上或托管在云中运行。因此,我们不能假设我们的客户将拥有您可能在数据中心或云中找到的那种基础架构,例如 CAS 或 NTP。
我们的应用程序为客户端应用程序提供了一个 REST API 来收集数据。我们想使用角色来限制用户可以访问的数据。我收集到一个常见的身份验证解决方案是在 REST 标头中对用户名/密码进行编码。但是,除非通过安全通道发送,否则这是完全不安全的。
据我了解,SSL 证书颁发机构会授予特定域的证书。我们的应用程序将没有设置域,并且根据安装不同的 IP。许多 Web 应用程序不信任自签名证书。 我不清楚自签名应用程序是否足以满足将使用我们界面的典型应用程序开发人员的要求。
既然如此:
1) 我有哪些选择可以在内部或通过网络设置安全通道?
2) 我是否在假设我们的产品将被如何使用,从而不必要地损害我们用户的安全?
【问题讨论】:
标签: rest security ssl authorization iot