Hallo zusammen,
ich möchte einen Webservice bereitstellen, der Daten aus meiner Notes Datenbank ausliefert (für Nicht-Notes-Nicht-Domino-Anwendungen). Soweit, so gut, das klappt auch wunderbar (in meinem Test: Zurückliefern des Inhalts des Subject-Items eines Dokumentes mit einer bestimmten ID).
Jetzt weiß ich aber nicht, wie ich da mit der Sicherheit umgehe um einen Missbrauch auszuschließen.
Ich suche also Denkansätze oder Stichwörter in welche Richtung ich da forschen müsste. Und zwar konkret zum Fall, dass ich einen Webservice auf einem Domino-Server habe den beliebige fremde Systeme ansteuern können sollen.
Die Sicherheit sollte meines Erachtens auf zwei Elementen basieren:
1) Zugriff auf den Webservice allgemein.
Hier möchte ich sicherstellen, dass nicht einfach jedermann auf meinen Webservice zugreifen kann, sondern nur bestimmte Kunden/Anwendungen/Server/IPs.
Domino2Domino würde ich über die ACL regeln, aber was ist mit Nicht-Domino-Systemen? Zertifiziert man da irgendwie die Server gegenseitig oder lässt man so etwas die Firewall über IPs regeln? Z.B. bei einer Web-App die auf Tomcat läuft und Spring zum Zugriff auf WS nutzt.
2) Zugriff auf bestimmte Dokumente.
Ein "User A" darf nicht einfach beliebige Dokumente auslesen, sondern nur bestimmte. Z.B. über eine User-ID in einem Item spezifiziert. Gebe ich diese ID einfach als Parameter mit? Oder gibt es da etwas praktischeres?
Gruß,
Mitch
Thema: Webservice Security: Wie gehe ich das an? (Gelesen 1272 mal)