Voglio progettare e implementare un sistema di pagamenti (non gestirò pagamenti con carta di credito). Il sistema avrà un'API RESTful. Ho già familiarità con i servizi RESTful e ne ho creati alcuni nel mio tempo.
Tuttavia, questa volta, la sicurezza è di fondamentale importanza e voglio un sistema che sia altrettanto robusto contro gli attacchi esterni, come qualsiasi altra cosa là fuori (ad es. Paypal).
Per come la vedo io, ci sono due punti di attacco:
The physical machines (servers) and the network they reside on
Attacks via the exposed RESTful API (man in the middle attacks, snooping etc).
Paypal, che è un modello di ciò che voglio replicare, fornisce un'API RESTful, usando OAuth ecc, quindi so che è possibile fornire un'API RESTFul sicura ai dati sensibili.
Quindi la mia domanda si decompone fondamentalmente nelle seguenti due domande:
A. Quali tecnologie / pratiche sono utilizzate da aziende come Paypal per garantire che le loro macchine non siano compromesse o compromesse?
B. OAuth è la strada da percorrere per presentare un'interfaccia sicura al mondo? - o può essere migliorato?