使用web服务保护数据库

Question

有传言说，我公司的团队很快就会在未来的所有应用程序开发中使用web服务。架构应该是这样的：

应用程序--> Web服务-->数据库

其背后所陈述的理由是安全性。这听起来像是在浪费时间，即使有好处也很少。我的问题是，web服务在哪些方面使您的数据比数据库更安全？我认为，如果攻击者想要获取所有数据，并且已经进入应用程序服务器，那么找出应用程序是如何获取数据的将是相当微不足道的。

请记住，这些web服务将纯粹用于数据，几乎没有业务/验证逻辑，而且也不在应用程序开发人员的控制范围内(至少以前所有使用过web服务的应用程序都是这样工作的)。

Answer 1

如果web服务上确实没有业务逻辑或验证，那么添加额外的抽象层只会带来有限的安全益处。我之所以说有限，是因为您的应用程序和数据库之间的接口仍然比它们彼此之间直接对话的接口更有限。

如果将验证和业务逻辑添加到等式中，则会带来显著的安全益处，因为任何有权访问应用程序帐户的人都只能执行应用程序所能执行的数据库操作。此外，这是一种更好的设计，因为它减少了应用程序和数据在数据库中存储方式的实现细节之间的耦合。如果您想要更改数据库模式，您只需要更新web服务，而不是整个应用程序。

Answer 2

Web服务的一个重要方面是互操作性，这样来自不同平台的不同应用程序以后就可以利用这些服务和数据。这样做，您的公司将会受益良多。你对安全性的看法是对的，这绝对是使用web服务而不是公开数据库的公共端点的一个很好的理由，它是危险的！

Web服务支持数据的可访问性，例如，您的数据可以在浏览器中通过javascript访问。在Javascript中无法直接访问服务器上的数据库。

总而言之，去做吧，这是正确的方法。

Answer 3

安全性参数值得怀疑；对web服务进行身份验证与对数据库进行身份验证没有什么不同

一般来说，将db操作转移到web服务和SOA是有正当理由的，但安全性不是其中之一。