Як забезпечити послуги WFS?


13

Наразі мені доручено знайти спосіб розгортання сервісів WFS для кількох клієнтів. Послугами можна користуватися як настільними програмами GIS, наприклад MapInfo / ArcGIS, так і веб-рішеннями GIS.

Чи можливо для сервісу WFS визначити, наприклад, ім’я користувача / пароль або маркер для передачі для перевірки прав доступу? (безпека верхнього рівня не потрібна)

Я шукав специфікацію OGC WFS, але я не можу знайти відповідну інформацію про це.


1
Необхідно встановити на рівні сервера / домену. Зворотний проксі-сервер також може використовуватися для захисту важливих серверів і сервісів - en.wikipedia.org/wiki/Reverse_proxy
Mapperz

Також дивіться відповіді тут: gis.stackexchange.com/questions/5686/…
mwalker

Відповіді:


11

WFS не має безпеки як частину стандарту, але ви можете без проблем використовувати HTTPS. OpenGIS Web Feature Service (WFS) Реалізація Специфікація (04-094) [s. 6.3.4] каже:

Використання HTTPS не впливає на опис запитів та відповідей, описаних у цій специфікації, але може зажадати додаткових дій як для клієнта, так і для служби, щоб ініціювати захищений зв’язок.

Отже, по суті, вам належить реалізовувати будь-які функції HTTPS. Наскільки я можу сказати , Mapserver може впоратися з HTTPS , але я ніколи цього не пробував. Насправді мені було б дуже цікаво подивитися, що ви придумали.


Дякуємо за вашу відповідь MerseyViking. Я повернусь та опублікую оновлення зі своїми висновками.
користувач2847

7

Якщо ви хочете ненав’язливо керувати доступом до цієї послуги, за допомогою єдиного знаку рішення можна реалізувати наступне. Наразі не існує служб з відкритим кодом, які реалізували б цей тип безпеки.

Перша частина - це веб-сервіс, який виступає посередником між WFS та користувачем. Цей веб-сервіс буде керувати доступом користувачів до шарів WFS та здійснювати необхідні перехресні перевірки за допомогою контролю доступу домену Active Domain або Kerberos Authentication. Ця послуга передасть на сервер WFS ті запити, які автентифіковані та дозволені. Це веб-сервіс Marshaling.

Друга частина - примусити WFS-сервер довіряти лише запитам від служби Marshaling. Це функція веб-сервера, яка обмежує IP-адреси, з яких він прийме з'єднання / запити.

Там продаються послуги Marshaling. Я особисто написав своє, щоб захистити примірник GeoServer, щоб він міг інтегруватися у дуже великий магазин Microsoft. Дозволяється призначати користувачів групам та керувати доступом до наборів даних через сервіс Marshaling.

Гарантована безпека та не впливає на ефективність спілкування.

Якщо ви хочете, щоб діаграми цієї інфраструктури були зрозумілішими або імена деяких постачальників, дайте мені знати (електронна пошта). Я жодним чином не пов'язаний з постачальниками, я просто знаю їхні імена. Я вважаю за краще писати своє;)

Це може бути хорошим проектом з відкритим кодом :) :)


абсолютно згоден, але як на 2018 рік, його ніхто не хвилював :(
Ілля Євлампієв

єдине можливе рішення - захистити сервлет від gwt-openlayers-сервера, що постачається разом із gwt-openlayers, та забезпечити як захищений базовий аут-сервер від сервлета до wfs-t (але ніяких оаутів та інших благ [рейтинги з докерізованого весняного хмарного світу)
Ілля Євлампієв
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.