web service

webservice

• 　面向服务的架构便于不同系统集成共享数据和功能
• 适合不想暴露数据模型和程序逻辑而访问数据的场景

两种类型的webservice

• 　　Simloe object access protocol (SOAP)
• 传统的webservice ，xml是唯一的数据交换格式
• 更多采用于要求安全性的应用
• restful（Representational State Transfer architecture——REST）
• 目前更多被采用的轻量级webservice,JSON是首选的数据交换格式

web service 安全考虑

• 市用API key 或session token 实现和跟踪身份认证
• 身份认证由服务器完成
• API key,用户名，Session token 不要通过URL发送
• RESTful默认不提供任何安全机制，需要使用SSL/TLS保护传输数据安全
• SOAP提供强于HTTPS的WS-security机制
• 使用OAuth或HMAC进行身份验证，HMAC身份认证使用C/S共享的密钥加密API Key
• RESTful应只允许身份认证用户市用PUT、DELETE方法
• 市用随机token防止CSRF攻击

webservice安全考虑

• 对用户提交参数过滤，建议部署基于严格白名单的方法
• 报错信息消毒
• 直接对象引用严格身份验证