这里的情景。防火墙外的用户需要在浏览器UI操作。浏览器发出一个REST API调用系统A(并验证和授权或接近过去进入防火墙的点)。系统A(企业网络防火墙内)使一个REST API调用以系统B(也企业网络防火墙之内)。
多少安全是足够的“内部” REST API从系统A到系统B调用,考虑到身份验证和授权已经发生在入口点到系统中的?
其他任何事情一样,这取决于所涉及的数据的敏感性,以及风险与组织多少要花费水平。
通常情况下,使用strongish SSL(HTTPS连接)被认为不够好。您可能需要包括认证机制,如果需要审计的System A提交请求 - 这个你可以使用任何:客户端证书,HTTP验证(基本或摘要),用户名/密码作为请求参数,IP地址映射,API键等
对于系统 - >系统调用,如果客户端系统没有变化(即不是一个Web浏览器或主动改变clientbase),你甚至都不需要“真正的”证书 - 一个强大的自签名证书是不够好,因为你把它分发到您的客户端系统,他们都知道源是有效的没有第三方的签名。
如果数据是非常敏感的,你可能会献给客户机和服务器之间的连接,无论是使用物理上分离的网络,或VPN。
对于初学者来说,如果两者都在一个私人子网,那么这就是已经安全,像样的数目。如果您有任何理由相信外面的人可以连接到API,然后继续工具允许任何调用之前来执行检查安全API密钥。
新(2018+),最好的做法是在正是你获得外部服务以同样的方式,以确保内部服务。
为什么?
由于数据披露的60%上来自内部源。内部系统也同样可能违反数据作为外部系统,所以你需要有相同的控制,你会为外部系统。