WFSサービスを保護する方法は?


13

現在、多くのクライアントにWFSサービスを展開する方法を見つける仕事をしています。サービスは、MapInfo / ArcGISなどのデスクトップGISソフトウェアまたはWeb GISソリューションの両方で使用できます。

WFSサービスで、アクセス権の検証のために渡すユーザー名/パスワードまたはトークンなどを定義することは可能ですか?(一流のセキュリティは必要ありません)

OGC WFS仕様を探していましたが、これに関する関連情報を見つけることができないようです。


1
サーバー/ドメインレベルで設定する必要があります。リバースプロキシは、また、重要なサーバ・サービスを保護するために使用することができます- en.wikipedia.org/wiki/Reverse_proxy
Mapperz

また、ここでの回答を参照してください。 gis.stackexchange.com/questions/5686/...
mwalker

回答:


11

WFSには標準の一部としてセキュリティはありませんが、問題なくHTTPSを使用できます。のOpenGISのウェブフィーチャサービス(WFS)実装仕様(04から094)[S。6.3.4]より:

HTTPSの使用は、この仕様で説明されている要求と応答の説明には影響しませんが、安全な通信を開始するために、クライアントとサービスの両方で追加のアクションを実行する必要があります。

したがって、本質的には、HTTPS機能を実装するのは完全にあなた次第です。Mapserverは、私が知る限りHTTPSに対処できますが、試したことはありません。実際、私はあなたが思いついたものを見ることにとても興味があります。


返信MerseyVikingをありがとう。私は調査結果を返し、更新を投稿します。
user2847

7

このサービスへのアクセスを控えめに管理したい場合は、シングルサインオンソリューションを使用して、以下を実装できます。現在、このタイプのセキュリティソリューションを実装するオープンソースサービスはありません。

最初の部分は、WFSとユーザー間の仲介役として機能するWebサービスです。このWebサービスは、WFSレイヤーへのユーザーアクセスを管理し、アクティブドメインまたはKerberos認証アクセス制御を使用して必要なクロスチェックを実行します。このサービスは、認証および許可された要求をWFSサーバーに渡します。これはマーシャリングWebサービスです。

2番目の部分は、マーシャリングサービスからの要求のみを信頼するようにWFSサーバーを強制することです。これは、接続/要求を受け入れるIPを制限するWebサーバー機能です。

マーシャリングサービスが販売されています。個人的にGeoServerインスタンスを保護するために自分で書いて、非常に大きなMicrosoftショップに統合できるようにしました。ユーザーをグループに割り当て、マーシャリングサービスを介してデータセットへのアクセスを管理することが許可されました。

安全であり、通信のパフォーマンスに影響を与えないことが保証されています。

このインフラストラクチャの図をより明確に理解したい場合や、一部のベンダーの名前を教えてください(メール)。私はベンダーとは一切関係ありません。ベンダーの名前を知っているだけです。私は自分で書くことを好みます;)

これは良いオープンソースプロジェクトかもしれません:) :)


絶対に同意するが、2018年のように、誰もが:(それの世話をしていない
イリヤYevlampiev

唯一の可能な解決策は、gwt-openlayersに同梱されているgwt-openlayers-serverからサーブレットを保護し、サーブレットからwfs-tにセキュリティ保護された基本認証を提供することです(ただし、oauthおよびその他の優れた
イリヤエヴランピエフ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.