Aquí está mi configuración: Crearé dos servicios REST que se ejecutan en el Servidor B y que solo deben llamarse desde el Servidor A. Ambos servidores están en la misma red y no puedo configurar un firewall para hacer cumplir esto. Hay varios clientes que comparten la misma red (interna) en la que están los servidores. Debido a esto, configuraré el Servidor B para que solo permita conexiones entrantes desde la dirección IP del Servidor A. (detalle técnico: quizás sea un Tomcat detrás de Apache httpd)
- servicio REST 1 que se encuentra en
https://server_b/getValue?id=1234
devolverá el valor almacenado para el id1234
. - servicio REST 2 que se encuentra en
https://server_b/setValue?id=1234&value=foo
establecerá un valor defoo
para id1234
(observaciones: sé que esto no es REST, ya que lo enseñan en los libros, esto es solo un ejemplo ;-) Y no: desafortunadamente no podré usar la autenticación básica o algo así)
¿Qué pasará ahora si alguien falsifica la dirección IP y pretende ser el Servidor A? Al llamar al servicio REST 1, no se enviará nada al falsificador porque la respuesta se enviará al Servidor A "real". ¿Esto es correcto?
El servicio de llamadas 2 será peor porque el método de obtención entra en vigencia inmediatamente. ¿Es correcto este supuesto?
Leí información sobre la falsificación de IP, por ejemplo, falsificación de IP (las teorías están bien) pero no pudo responder a mis preguntas específicas utilizando esa información.