OSB 安全性,是否值得同时保护代理服务和业务服务?
还是只是代理服务?
换句话说,如果业务服务没有配置安全,这会是一个安全漏洞吗?
问问题
251 次
2 回答
1
我将为您链接到文档的几个部分:
现在,当您说“如果业务服务不安全”时,您实际上是在指出需要理解的内容。您可以从您为其编写的代理服务之外的上下文中调用业务服务吗?我想说的是,您可以从OSB 中的任何代理服务调用大量业务服务,因此,如果您觉得在 OSB 级别,您担心某些开发人员可能会针对您的业务服务编写一些代码并调用它而无需提供某种身份验证/授权,您可能需要保护它。
此外,如果您能够从框外调用业务服务(就像您使用代理服务所做的那样),那么您可能会面临同样的问题,即让任何人调用该服务,如果他们碰巧找到它的网址。
这可能不是最佳答案,但我认为您的问题可以通过一些改进来更具体地提出,“可以直接从 SBConsole 外部调用业务服务吗?”,遗憾的是我没有给您一个好的答案。
我认为一个更好的问题是“可以从哪些向量调用 OSB 业务服务?” 正如它指出的那样,您必须在哪里寻找以确保人们不会试图直接调用您的敏感业务服务。
于 2015-05-22T13:48:29.107 回答
1
在我看来,最好单独保护代理服务。与代理服务不同,业务服务没有端点 URI 可以通过 Internet 将它们公开给其他服务/代理。因此,除非开发人员明确地将他的代理服务“引用”到您正在使用的业务服务中,否则我认为保护业务服务以防止其他代理、客户端错误使用有任何意义。
请注意,出于与上述相同的原因,我们仅将代理暴露给外部世界(客户端、其他服务等),而不是业务服务。业务服务仅用于连接端系统(遗留系统、其他 web 服务、JMS 队列、siebel 系统等)
于 2015-06-30T09:33:28.970 回答