Eri*_*air 5 security coldfusion web-services cfc
我正在为我们的客户创建一个简单的Web服务,他们希望能够检索购物车信息并在购物车中添加/更新商品.我为每个人编写了一个带有远程方法的CFC.现在,显然当这些CFC方法设置为时access="remote",整个世界可以按原样调用它们.但是,我需要启用安全性以确保唯一可以远程调用这些方法的人(不是来自我的网站)是我已经允许的那些人.而且我不希望它是侵入性的(强制登录等).
例如,Web服务存在于http://www.mywebsite.com上,我只想允许来自http://www.yoursite1.com和http://www.yoursite2.com的请求.使用HTTP_REFER并不好,因为这可能是欺骗性的.我怎样才能做到这一点?是否可以使用自签名证书以某种方式验证请求是否被允许?
注意:我也希望能够将这些Web服务用于我们自己网站的呼叫,因此我需要一个适用于这两种方案的解决方案.
我实际上面临着同样的问题。我正在考虑向我的网络服务的消费者发布密钥并获取他们的 IP 地址。然后,在 Web 服务调用中,他们需要在标头部分发送密钥。然后,我将根据密钥和远程地址验证请求。我确信有更好的方法可以做到这一点,并且我会对其他人提供的方法感兴趣。