OSB Security,是否值得保护代理服务和业务服务?
或者只是代理服务?
换句话说,如果业务服务没有配置安全性,这可能是一个安全漏洞吗?
我将为您链接到文档的几个部分:
9.4 Security and Security Policies for Business Services
49.2 Security and Security Policies for Business and Proxy Services
现在,当你说"if the business service is insecure"时,你实际上指出了需要理解的东西 . 您可以从您为其编写的代理服务的上下文中调用业务服务吗?我想说有很多商业服务可以从OSB中的 ANY 代理服务中调用,所以如果您觉得在OSB级别,您担心某些开发人员可能会针对您的业务服务编写代码并调用它而无需提供某种身份验证/授权,您可能需要保护它 .
此外,如果您能够从包装盒外面拨打商业服务(就像使用代理服务那样),那么只要让任何人拨打该服务,您可能会面临同样的问题 . 碰巧找到它的URL .
这可能不是最好的答案,但我认为您的问题可以使用一些改进来更具体地询问“可以直接从SBConsole外部调用业务服务吗?”,遗憾的是我没有给您一个好的答案 .
我认为一个更好的问题是“可以从哪个向量调用OSB业务服务?”正如它指出的那样,您必须确保人们不会直接调用您的敏感业务服务 .
在我看来,建议单独保护代理服务 . 与代理服务不同,业务服务没有 endpoints URI来通过Internet将它们暴露给其他服务/代理 . 因此,除非开发人员明确地“引用”他的代理服务到您正在使用的业务服务,否则我没有看到保护业务服务从其他代理,客户端错误使用的任何意义 .
请注意,出于与上述相同的原因,我们仅向外部世界(客户端,其他服务等)公开代理,而不是业务服务 . 业务服务仅用于连接到终端系统(遗留系统,其他Web服务,JMS队列,siebel系统等) .
2 回答
我将为您链接到文档的几个部分:
9.4 Security and Security Policies for Business Services
49.2 Security and Security Policies for Business and Proxy Services
现在,当你说"if the business service is insecure"时,你实际上指出了需要理解的东西 . 您可以从您为其编写的代理服务的上下文中调用业务服务吗?我想说有很多商业服务可以从OSB中的 ANY 代理服务中调用,所以如果您觉得在OSB级别,您担心某些开发人员可能会针对您的业务服务编写代码并调用它而无需提供某种身份验证/授权,您可能需要保护它 .
此外,如果您能够从包装盒外面拨打商业服务(就像使用代理服务那样),那么只要让任何人拨打该服务,您可能会面临同样的问题 . 碰巧找到它的URL .
这可能不是最好的答案,但我认为您的问题可以使用一些改进来更具体地询问“可以直接从SBConsole外部调用业务服务吗?”,遗憾的是我没有给您一个好的答案 .
我认为一个更好的问题是“可以从哪个向量调用OSB业务服务?”正如它指出的那样,您必须确保人们不会直接调用您的敏感业务服务 .
在我看来,建议单独保护代理服务 . 与代理服务不同,业务服务没有 endpoints URI来通过Internet将它们暴露给其他服务/代理 . 因此,除非开发人员明确地“引用”他的代理服务到您正在使用的业务服务,否则我没有看到保护业务服务从其他代理,客户端错误使用的任何意义 .
请注意,出于与上述相同的原因,我们仅向外部世界(客户端,其他服务等)公开代理,而不是业务服务 . 业务服务仅用于连接到终端系统(遗留系统,其他Web服务,JMS队列,siebel系统等) .