나는 웹 서비스의 보안과 같은 아마존에 대해 이야기 하는이 훌륭한 기사 http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ 을 참조합니다 . 그러나 팀에서 이미 HTTPS를 사용하는 경우 왜 필요한지에 대한 질문을 받았습니다. 나는 그것이 장에게 다르게 말하고 있지만 그들이 옳을지도 모르기 때문에 나는 대답 할 수 없었다.
HTTPS가 작동하지 않을 수있는 REST 서비스를 제공 할 때도 있습니까? 타사 웹 사이트처럼?
공개 웹을 통한 웹 서비스 보안 경험이있는 사람은 경험에 대해 알려주십시오.
미리 감사드립니다.
편집 : 명확히하기 위해 사용자 인증에 대해 말하고 있지만 클라이언트 인증에 대해 더 많이 말하고 있습니다. 사용자 인증은 HTTPS + REST를 통한 일반 텍스트 인 것으로 가정 할 수 있습니다.
내 걱정은 HTTPS를 통해 클라이언트 엔드 포인트가 여전히 클라이언트 응용 프로그램없이 내 웹 서비스를 사용할 수 있지만 모든 것이 평범한 텍스트이므로 클라이언트가없이 웹 서비스를 사용하여 누구나 웹 서비스에 액세스 할 수 있다는 것입니다.