आरईएसटी और JSON

Question

सुरक्षित करना मैं रीस्टफुल आर्किटेक्चर का उपयोग कर JSON डेटा की सेवा करने वाली अपनी वेब सेवाओं को बनाना चाहता हूं।

लेकिन मैं केवल अपने स्वयं के क्लाइंट ऐप्स चाहता हूं जो मेरी वेब सेवाओं से अनुरोध कर सकते हैं।

असल में, मेरी वेब सेवाओं में संवेदनशील डेटा होता है जो सार्वजनिक उपभोग के लिए नहीं है, लेकिन मैं इसे इस तरह से बनाना चाहता था ताकि मैं अपनी वेब सेवा से कनेक्ट होने वाले कई अलग-अलग क्लाइंट ऐप्स बना सकूं।

इसके लिए किसी भी विचार की सराहना करेंगे, धन्यवाद।

Answer 1

तथ्य यह है कि यह रीस्टफुल है या जेएसओएन का उपयोग करता है, जब कोई वेब सेवा सुरक्षित करने की बात आती है तो यह एक प्रासंगिक कारक नहीं है। किसी भी वेब सेवा को उसी तरीके से सुरक्षित करने की आवश्यकता होगी। ऐसी कुछ चीजें हैं जो आपको करना चाहिए:

1. यदि संभव हो, तो इंटरनेट पर अपनी वेब सेवा होस्ट न करें। यदि वेब सेवा आपकी कंपनी के लैन के भीतर होस्ट की जाती है, उदाहरण के लिए, यह सार्वजनिक उपभोग के संपर्क में नहीं आ जाएगा जबतक कि आपने इसे विशेष रूप से अपने राउटर के माध्यम से उजागर नहीं किया।
2. प्रमाणीकरण और प्रमाणीकरण नियम सेट अप करें। यदि आप Windows वेब के अंदर अपनी वेब सेवा होस्ट कर रहे हैं, तो आप केवल विंडोज प्रमाणीकरण का उपयोग कर सकते हैं और सक्रिय निर्देशिका उपयोगकर्ताओं और समूहों के आधार पर नियम सेट अप कर सकते हैं। अन्य विकल्प HTTP प्रमाणीकरण, क्लाइंट प्रमाणपत्र प्रमाणीकरण, या यदि आप .NET में विकसित कर रहे हैं, तो प्रमाणीकरण बनाते हैं।
3. एन्क्रिप्शन (HTTPS) का उपयोग करें, खासकर यदि आपकी वेबसाइट इंटरनेट पर होस्ट की जाती है।

Answer 2

आपको ऐसा करने के लिए बस कुछ चीजों की आवश्यकता है। सबसे पहले, अनुरोध करने के लिए सेवा क्लाइंट को आपकी सेवा (HTTPS से अधिक) के विरुद्ध प्रमाणित करने की आवश्यकता होगी। एक बार क्लाइंट प्रमाणीकृत हो जाने पर, आप एक निजी टोकन वापस कर सकते हैं जिसे क्लाइंट को इस टोकन के साथ शामिल करना है। जब तक टोकन उचित समय के बाद समाप्त हो जाता है, और इसे उत्पन्न करने के लिए एक सुरक्षित एल्गोरिदम का उपयोग किया जाता है, तो यह वही करना चाहिए जो आप चाहते हैं।

यदि आपके पास अधिक सख्त सुरक्षा आवश्यकताएं हैं, तो आप जैकब के सुझाव का पालन कर सकते हैं, या ग्राहक अनुरोध करने से पहले वीपीएन सत्र शुरू कर सकते हैं।