Ecco la mia configurazione: Creerò due servizi REST che vengono eseguiti sul server B e che devono essere richiamati solo dal server A. Entrambi i server si trovano sulla stessa rete e non sono in grado di configurare un firewall per applicarlo. Esistono diversi client che condividono la stessa rete (interna) su cui si trovano i server. Per questo motivo configurerò il Server B per consentire solo le connessioni in arrivo dall'indirizzo IP del Server A. (dettagli tecnici: questo sarà forse un Tomcat dietro Apache httpd)
- Servizio REST 1 che si trova su
https://server_b/getValue?id=1234
restituirà il valore archiviato per l'id1234
. - Servizio REST 2 su cui si trova
https://server_b/setValue?id=1234&value=foo
imposterà un valore difoo
per l'id1234
(nota: so che questo non è REST come lo insegnano nei libri, questo è solo un esempio ;-) E no: sfortunatamente non potrò usare l'autenticazione di base o simili)
Che cosa succederà ora se qualcuno spoofa l'indirizzo IP e finge di essere il Server A? Quando si chiama il servizio REST 1, nulla verrà trasferito al falsificatore perché la risposta verrà inviata al server "reale" A. È corretto?
Chiamare il servizio 2 sarà peggio perché il metodo get diventa immediatamente effettivo. Questa supposizione è corretta?
Ho letto le informazioni sullo spoofing IP, ad esempio I falsi IP (le teorie vanno bene) ma non è stato in grado di rispondere alle mie domande specifiche utilizzando tali informazioni.