Esiste un modo per differenziare tra una normale richiesta web e una richiesta di servizio web?

Question

Esiste un modo per differenziare tra una normale richiesta web e una richiesta di servizio web?

#1 da (1 voti)
#2 da (0 voti)

2

Ho un livello di sicurezza per fornire la sicurezza delle richieste che arrivano sul mio server. Per tutte le richieste web che arrivano in una pagina di accesso viene mostrato se il cookie non è presente. Ora sto introducendo richieste di servizi Web a questo server che sembrano anche normali richieste web. C'è un modo per differenziare queste richieste dal livello di sicurezza in modo da indirizzarle a diverse implementazioni di sicurezza.

Entrambe le richieste web e le richieste di servizi web arrivano come richieste http di base.

web-service

posta Sai Pavan 18.12.2012 - 13:02

fonte

2 risposte

Leggi altre domande sui tag web-service

Come dovrei controllare e monitorare le porte TCP condivise in Windows? Comprensione delle richieste di origine incrociata da una pagina web

score 1 · Answer 1

Suppongo che la domanda chiave sia la modalità di protezione del tuo servizio web? Se si utilizza una connessione http per un servizio Web, è necessario disporre di una protezione piuttosto pesante sulle richieste e sulle risposte stesse (come un HMAC incrementale con segno) per convalidare l'integrità del messaggio. In entrambi i casi, la migliore scommessa è probabilmente quella di esaminare la struttura della richiesta stessa.

È davvero difficile darti una buona risposta senza capire di più su come sei in grado di gestire il routing del traffico. Potrebbe essere semplice come configurare due siti diversi, uno per gestire le richieste web e uno per gestire il servizio web. Quindi a ciascun sito potrebbero essere assegnate regole diverse. Se si sta utilizzando un dispositivo hardware sul front-end, dipenderà dalle capacità del dispositivo.

score 0 · Answer 2

La risposta, concettualmente, è molto semplice: le richieste del servizio web SOAP saranno richieste HTTP GET con un'intestazione Accept di "application / soap + xml", o sarà un POST HTTP con un Content-Type di "application / soap + xml". Entrambe avranno un URI di richiesta che dovrebbe essere identificabile, in base al file richiesto o semplicemente conoscendo l'architettura del proprio sito, come endpoint del servizio.

Tuttavia, esattamente come verificherai queste cose dipende dall'architettura del tuo sistema. In un sistema tradotto URI (come i siti StackExchange) o semplicemente in un ambiente in cui le richieste di directory sono la norma e sono indirizzate alle pagine predefinite, l'intestazione Request-URI non ti sarà di alcun aiuto, a meno che tu non indichi direttamente la posizione di ogni servizio (o inserirli tutti in una sottodirectory "services" che è facile da verificare). Se alcune o tutte le richieste sono su un canale sicuro come SSL / TLS, il tuo livello di ispezione / sicurezza deve trovarsi dietro il tuo endpoint al tunnel protetto, altrimenti stai semplicemente osservando senza senso. Questi sono solo un paio di potenziali problemi con il semplice controllo delle richieste al limite.