Restricción de IP de Tomcat frente a OAuth de dos patas

Question

Restricción de IP de Tomcat frente a OAuth de dos patas

#1 de Yoav Aner (2 votos)

2

Tenemos una API del lado del servidor que está completamente basada en REST. Estamos codificando para asegurarlos con dos tipos de autenticación de tipo oAuth. Planeamos aplicaciones de iPhone y Android en el futuro, pero por ahora, tenemos una aplicación cliente que podrá conectarse a las API de nuestro servidor. La UI y el back-end (REST) pueden estar en el mismo servidor o en un servidor diferente.

Mi equipo de front-end me dice que, dado que esta es una aplicación interna, no necesitamos asegurarlos con oAuth, al igual que no necesitaríamos una llave para cada habitación de nuestra propia casa. Solo podemos utilizar las restricciones de IP de Tomcat en cuanto a qué servidores / IP pueden acceder a estas API. Sería innecesario y excesivo utilizar la autenticación de tipo oAuth para aplicaciones internas.

¿Mi equipo de front-end está bien? ¿Cuál es la ventaja de asegurar las API REST con oAuth para aplicaciones internas? No planeamos usar SSL inicialmente, ya que se trata de una aplicación SaaS para consumidores

web-application authentication oauth appsec

pregunta kalina 19.02.2012 - 19:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication oauth appsec

¿Cómo llevar a cabo el ataque DDoS en la práctica? [duplicar] ¿No es seguro permitir que aplicaciones distintas a Outlook envíen correos electrónicos a través del servidor de Exchange?

score 2 · Answer 1

¿Está hablando de la autenticación entre los usuarios y la aplicación de aplicaciones para usuario? ¿O la aplicación de front-end y el backend?

Supongo que como con casi cualquier cosa relacionada con la seguridad, depende. Debería considerar el valor de los datos disponibles a través de esta aplicación y compararlos con la exposición que podría tener que comprometer (externa pero también interna). Puede o no ser suficiente usar el filtrado de IP de origen, o incluso OAUTH, dependiendo de este perfil de riesgo.

En cuanto a la analogía con las llaves de las habitaciones de la casa. Es cierto que normalmente no necesitas las llaves de todas las habitaciones de la casa, pero cuando vas al baño, es posible que desees cerrar la puerta con llave, en caso de que alguien entre a ti. O si desea guardar el precioso collar que solía usar su bisabuela, podría considerar ponerlo en una caja fuerte. O cuando tienes muchos invitados en una fiesta, puedes poner toda la porcelana cara en un almacén y encerrarla y solo dejar los vasos de papel ... espero que veas a dónde va esto (y no olvides invitarnos a la fiesta!)