Làm thế nào để bảo mật các dịch vụ WFS?

13

Tôi hiện đang được giao nhiệm vụ tìm cách triển khai các dịch vụ WFS cho một số khách hàng. Các dịch vụ có thể được sử dụng bởi cả phần mềm GIS trên máy tính để bàn, ví dụ như MapInfo / ArcGIS hoặc bởi các giải pháp Web GIS.

Có thể, đối với dịch vụ WFS, có thể xác định ví dụ: tên người dùng / mật khẩu hoặc mã thông báo để chuyển qua xác minh quyền truy cập không? (bảo mật đỉnh cao là không cần thiết)

Đã tìm kiếm trong đặc tả OGC WFS, nhưng tôi dường như không thể tìm thấy bất kỳ thông tin liên quan nào về điều này.

wfs  security  ogc 
người dùng2847
nguồn
1
Cần phải được đặt ở cấp độ máy chủ / tên miền. Một proxy ngược cũng có thể được sử dụng để bảo mật các máy chủ và dịch vụ quan trọng - en.wikipedia.org/wiki/Reverse_proxy
Mapperz
Cũng xem câu trả lời tại đây: gis.stackexchange.com/questions/5686/ Kẻ
mwalker

Câu trả lời:

11

WFS không có bảo mật như một phần của tiêu chuẩn, nhưng bạn có thể sử dụng HTTPS mà không gặp vấn đề gì. Các dịch vụ Feature OpenGIS Web (WFS) Thực hiện Thông số kỹ thuật (04-094) [s. 6.3.4] nói:

Việc sử dụng HTTPS không ảnh hưởng đến mô tả các yêu cầu và phản hồi được mô tả trong thông số kỹ thuật này nhưng có thể yêu cầu các hành động bổ sung được thực hiện trên cả máy khách và dịch vụ để bắt đầu liên lạc an toàn.

Vì vậy, về cơ bản hoàn toàn phụ thuộc vào bạn để thực hiện bất kỳ chức năng HTTPS nào. Mapserver có thể đối phó với HTTPS theo như tôi có thể nói , nhưng tôi chưa bao giờ thử nó. Trong thực tế, tôi rất muốn thấy những gì bạn nghĩ ra.

MerseyViking
nguồn
Cảm ơn bạn đã trả lời MerseyViking. Tôi sẽ trở lại và đăng một bản cập nhật với những phát hiện của tôi.
dùng2847
7

Nếu bạn muốn quản lý quyền truy cập vào dịch vụ này một cách kín đáo, thông qua một dấu hiệu duy nhất về giải pháp, bạn có thể thực hiện như sau. Hiện tại không có dịch vụ nguồn mở thực hiện loại giải pháp bảo mật này.

Phần đầu tiên, là một dịch vụ web đóng vai trò trung gian hòa giải giữa WFS và người dùng. Dịch vụ web này sẽ quản lý người dùng truy cập vào các lớp WFS và thực hiện các kiểm tra chéo cần thiết với điều khiển truy cập Xác thực tên miền hoạt động hoặc Kerberos. Dịch vụ này sẽ chuyển qua máy chủ WFS những yêu cầu được xác thực và cho phép. Đây là một dịch vụ web Marshaling.

Phần thứ hai là bắt buộc máy chủ WFS chỉ tin tưởng các yêu cầu từ Dịch vụ Marshaling. Đây là một tính năng máy chủ web giới hạn IP mà từ đó nó sẽ chấp nhận kết nối / yêu cầu.

Có những dịch vụ Marshaling ngoài kia để bán. Cá nhân tôi đã tự viết để bảo mật một cá thể GeoServer để nó có thể tích hợp vào một cửa hàng rất lớn của Microsoft. Nó được phép chỉ định người dùng cho các nhóm và quản lý quyền truy cập vào bộ dữ liệu thông qua dịch vụ Marshaling.

Đảm bảo an toàn và không ảnh hưởng đến hiệu suất truyền thông.

Nếu bạn muốn sơ đồ của cơ sở hạ tầng này để hiểu rõ hơn hoặc tên của một số nhà cung cấp cho tôi biết (email). Tôi không liên kết với bất kỳ nhà cung cấp nào, tôi chỉ biết tên của họ. Tôi thích viết riêng của tôi;)

Đây có thể là một dự án nguồn mở tốt :) :)

Tối ưu hóa thời gian
nguồn
hoàn toàn đồng ý, nhưng vào năm 2018, không ai quan tâm đến nó :(
Ilya Yevlampiev
giải pháp khả thi duy nhất là bảo mật servlet từ gwt-openlayers-server được vận chuyển bằng gwt-openlayers và cung cấp dưới dạng auth cơ bản được bảo mật từ servlet đến wfs-t (nhưng không có oauth và các [ractice tốt khác từ thế giới đám mây được neo)
Ilya Yevlampiev
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.