如何保护服务器-服务器应用程序中的通信安全？

Question

我有一个基于微服务的web应用程序。微服务之间通过一个公开的REST API进行通信。我想要一个简单而又安全的解决方案来保护我的微服务之间的通信。我已经使用JWT协议来保护我的用户-服务通信，但我找不到保护服务器-服务器通信的最佳方法。

更新:我想要一种简单的方法来验证API。对密钥和密钥进行硬编码，或者将它们放在配置文件中，然后使用它们向其他端点进行身份验证，这是一种好方法吗？我听说过OAuth2协议，但我担心它对我的need.So来说有点过头了。有什么方法可以简单安全地对API进行身份验证？

Answer 1

您应该使用HTTPS来确保服务器之间的通信安全。就点对点安全性(传输层安全性)而言，这是可行的方法。

但请记住，这仍然不意味着您将拥有消息级安全性(端到端安全性)。消息路径上的中介(即服务代理或其他服务和应用程序)将能够在处理消息内容时看到消息内容中的内容。

REST依赖于HTTP提供的统一约定，因此您不能像使用SOAP那样使用WS-Security的高级特性。SOAP的安全特性提供了更广泛的选择，因此，如果安全性在您的案例中是关键，那么您绝对应该检查SOAP web服务。

另外，请看一下this question。它与你的相关，我相信它会对你有所帮助。

希望这能有所帮助！