Sto cercando di capire il valore di avere un servizio non pubblico che richiede l'autenticazione da altri servizi che fanno parte dello stesso prodotto. È per quando qualcuno ottiene l'accesso a qualche altro host e poi attacca il servizio?
Se si sta chiedendo se ci sono minacce attenuate in parte dall'autenticazione nelle chiamate di servizio interne, la risposta è sì. Se stai chiedendo se valga la pena di fare qualcosa che dipende dal costo e dal rischio.
Ecco alcune delle minacce:
Elenco abbastanza breve.
Non penso sia normale impostare SSL interno con i certificati client a meno che non si tratti di un'applicazione sensibile, ad es. qualcosa che gestisce numeri CC o altri target di alto valore.
I vantaggi sono:
Di solito i servizi privati i cui clienti sono altri servizi richiedono autorizzazione , non autenticazione . La differenza è che il primo descrive quali diritti o privilegi viene fornito la richiesta, mentre il secondo definisce quale entità ha originato la richiesta.
Un database è un esempio di un servizio privato. Considera un'applicazione che comunica con il database. Importa meno che l'applicazione si autentichi sul database, che il database garantisce che l'applicazione non abbia i diritti di un DBA, per esempio, chiudere il database o eliminare tutte le tabelle.
Le informazioni di autenticazione sono spesso costose da eseguire e una volta eseguite con produrre informazioni di autorizzazione. Di conseguenza, l'autenticazione viene eseguita in modo univoco una volta al "bordo" del sistema, mentre l'autorizzazione fornita con il singolo atto di autenticazione deve essere eseguita attraverso tutta l'elaborazione che avviene all'interno del sistema per conto dell'entità autenticata.
Leggi altre domande sui tag authentication web-application web-service