Bagaimana cara mengamankan layanan WFS?

13

Saat ini saya ditugaskan menemukan cara untuk menyebarkan layanan WFS ke sejumlah klien. Layanan dapat dikonsumsi oleh perangkat lunak GIS desktop misalnya MapInfo / ArcGIS atau oleh solusi GIS Web.

Apakah mungkin, untuk layanan WFS, untuk mendefinisikan misalnya nama pengguna / kata sandi atau token untuk diteruskan untuk verifikasi hak akses? (keamanan kedudukan tertinggi tidak diperlukan)

Telah mencari dalam spesifikasi OGC WFS, tapi sepertinya saya tidak dapat menemukan info yang relevan tentang ini.

pengguna2847
sumber
1
Perlu diatur pada tingkat server / domain. Proxy terbalik juga dapat digunakan untuk mengamankan server & layanan penting - en.wikipedia.org/wiki/Reverse_proxy
Mapperz
Lihat juga jawabannya di sini: gis.stackexchange.com/questions/5686/…
mwalker

Jawaban:

11

WFS tidak memiliki keamanan sebagai bagian dari standar, tetapi Anda dapat menggunakan HTTPS tanpa masalah. The OpenGIS Web Feature Service (WFS) Pelaksanaan Keterangan (04-094) [s. 6.3.4] mengatakan:

Penggunaan HTTPS tidak memengaruhi uraian permintaan dan tanggapan yang diuraikan dalam spesifikasi ini, tetapi mungkin memerlukan tindakan tambahan untuk dilakukan pada klien dan layanan untuk memulai komunikasi aman.

Jadi pada dasarnya terserah Anda untuk mengimplementasikan fungsi HTTPS. Mapserver dapat mengatasi HTTPS sejauh yang saya tahu , tetapi saya belum pernah mencobanya. Sebenarnya saya akan sangat tertarik melihat apa yang Anda hasilkan.

MerseyViking
sumber
Terima kasih atas balasan Anda, MerseyViking. Saya akan kembali dan mengirim pembaruan dengan temuan saya.
user2847
7

Jika Anda ingin mengelola akses ke layanan ini secara tidak mencolok, melalui solusi masuk tunggal, Anda dapat menerapkan yang berikut ini. Saat ini tidak ada layanan open source yang mengimplementasikan solusi keamanan jenis ini.

Bagian pertama, adalah layanan web yang bertindak sebagai mediator antara WFS dan pengguna. Layanan web ini akan mengelola akses pengguna ke lapisan WFS dan melakukan pemeriksaan silang yang diperlukan dengan kontrol akses Domain Aktif atau Otentikasi Kerberos. Layanan ini akan melewati permintaan WFS server yang dikonfirmasi dan diizinkan. Ini adalah layanan web Marshaling.

Bagian kedua adalah untuk menegakkan server WFS hanya mempercayai permintaan dari Layanan Marshaling. Ini adalah fitur server web yang membatasi IP dari mana ia akan menerima koneksi / permintaan.

Ada layanan Marshaling di luar sana untuk dijual. Saya pribadi menulis sendiri untuk mengamankan instance GeoServer sehingga dapat diintegrasikan ke dalam toko Microsoft yang sangat besar. Itu diizinkan untuk menetapkan pengguna ke grup dan mengelola akses ke kumpulan data melalui layanan Marshaling.

Dijamin aman dan tidak mempengaruhi kinerja komunikasi.

Jika Anda ingin diagram infrastruktur ini untuk pemahaman yang lebih jelas atau nama beberapa vendor, beri tahu saya (email). Saya tidak berafiliasi dengan vendor, saya hanya tahu nama mereka. Saya lebih suka menulis sendiri;)

Ini mungkin proyek Open source yang bagus :) :)

OptimizePrime
sumber
benar-benar setuju, tetapi pada 2018, tidak ada yang peduli :(
Ilya Yevlampiev
satu-satunya solusi yang mungkin adalah mengamankan servlet dari server gwt-openlayers yang dikirimkan bersama gwt-openlayers dan menyediakan auth dasar dasar yang dijamin dari servlet ke wfs-t (tetapi tidak ada oauth dan barang-barang lainnya [ractices dari dunia cloud musim semi yang diperbesar)
Ilya Yevlampiev