我有一个像example.org/app这样的URL上运行的Liferay实例。这个实例确实有一个REST API,通常在example.org/app/o/restpath下运行。
运行此实例的服务器的方式是可以在不受外部限制的情况下访问前端,但REST API只能通过example.org/rest等URL在网络内部访问。
我需要确保使用example.org/app访问REST API是不可能的。我也应该无法使用example.org/rest访问前端。有人有什么建议吗?
有很多方法可以做到这一点,最好的方法取决于你的筹码,偏好和能力。
反向代理是第一个想到的,请记住,如果您的应用程序可以控制谁可以访问它,通常会更好。因此,检查谁正在访问的包装器或过滤器会有所帮助。但即便如此,过滤器还是要放在主应用程序或模块上?这是一个需要来自你的评估。
您还可以将代理策略与过滤器结合使用,以防有一天您正在调整代理并放过一些内容。您也可以决定更改您的代理服务器..
或者您的公司已经拥有一个允许流量流出的代理,并且如果该代理具有访问权限会更容易...
您包含的servlet也可以提供此类控件,因此您实际上不需要代理。
虽然如果这种功能在应用程序层本身中,我感觉更舒服,就像组件的包装器一样,包装器在入口点提供服务,过滤器,甚至方法,而其他只是额外的并减少负荷。
有些公司的网络设备上升到网络堆栈的几个层次,那里有很多可能提供帮助的地方,IDS能够提供警报,触发器等......就目前而言,人们需要更多信息来帮助更多,即使你的意思是“确保”(这种保证需要走多远,就像你在考虑密码,证书,IDS或像上面提到的简单方法一样),但我想这涵盖了它。