У меня есть два вопроса. Как решить, какое из следующих вариантов лучше всего выбрать в качестве метода проверки подлинности?Проверка подлинности Docusign Connect API
Как реализовать два метода проверки подлинности? Я использую приложение Rails 4 в качестве конечной точки API-интерфейса Connect.
Что лучше для вас будет зависеть от вашей ситуации и приоритетов.
Вход сообщение с X509 Certificate
Это может быть использовано для проверки или доказать источник сообщения. В этом случае DocuSign. Это может быть полезно для целей аудита.
Требовать Взаимная TLS
С Mutual Auth TLS как отправитель и получатель проверить друг друга, используя сертификаты. Поэтому получатель знает, что связь была инициирована DocuSign, а служба DocuSign проверяет, что сертификат, используемый получателем, соответствует настройкам конфигурации в консоли DocuSign. Цель здесь - предотвратить нападение типа «Человек в середине», где сообщение может быть перехвачено и изменено/записано злоумышленником.
This ответ на вопрос о различиях более подробно.
Я думаю, что ключевым моментом является то, что оба подхода решают разные проблемы, в зависимости от вашей ситуации, в которой вы можете потребовать, оба или ни того, ни другого.
Что касается реализации, TLS обычно выполняется на уровне сервера, поэтому может потребоваться только конфигурация и код приложения. Подписание XML, с другой стороны, обычно выполняется внутри самого приложения.
спасибо Mark. Не могли бы вы рассказать мне, как реализовать Mutual TLS для моего приложения rails? Какие вещи мне нужно делать в моем приложении? –
Каким сервером приложений/контейнером вы развертываете приложение? Вы тоже сталкиваетесь с веб-сервером? –
Я использую Apache Phusion Passenger –