Visualizzazione dei risultati da 1 a 4 su 4
  1. #1

    Un dettaglio di logica e approccio sulla sicurezza di un progetto.

    Salve,
    su un progetto Web-App dove gestisco dati sensibili, ho sviluppato il Back Office in php con programmazione ad oggetti.

    Nelle pagine del Back Office, includo le classi, le dichiaro e ne utilizzo i loro metodi, come viene fatto in molte occasioni.

    Mi è stato consigliato di creare delle API REST per gestire tutti i dati in "Inserimento, Modifica, Eliminazione, Interrogazione", e gestirle con delle chiamate dal Back Office, questo per aumentare oltre alla flessibilità di un utilizzo da parte di altre applicazioni, anche per la sicurezza!!

    La domanda è la seguente:

    Dato che il mio back office, le classi, il database, si trova tutto all'interno di un Cloud nel solito dominio, facendo delle richieste REST invece che delle chiamate dirette alle classi, perchè dovrebbe aumentare la sicurezza??

    Io vedo questa pratica come un Diminuire la sicurezza!! Sbaglio?

    Se nelle API applico una sicurezza alta tipo: Criptatura, protocollo sicuro, e tutto quello che posso mettere, non è mai come la protezione che posso avere dal server stesso.

    Se sono all'interno del server, perchè uscire con una chiamata https e poi rientrare nel solito punto da dove è partita la chiamata??

    Sto sbagliando?

    Grazie a tutti

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,445
    Secondo me non ha proprio senso gestire la parte amministrativa di un servizio web tramite API, quelle sono fatte per dare accesso ai servizi offerti, non alla gestione.

  3. #3
    Utente di HTML.it
    Registrato dal
    Sep 2016
    Messaggi
    783
    Secondo me a livello di sicurezza potresti anche avere dei livelli equivalenti utilizzando le api, ora in quel campo va molto di moda jwt che sembra garantire una buona protezione (anche se è relativamente giovane, quindi è sempre bene non fidarsi troppo).
    Però se non hai intenzione di utilizzare app desktop/mobile per gestire il backend da più client, o più in generale se non ti serve una struttura headless (forse da quello che dici è così e quindi le api hanno un senso) è solo lavoro in più che ti fa perdere tempo.

  4. #4
    Infatti, vi ringrazio per la conferma, avevo bisogno di un parere esperto, mi era venuto questo dubbio, ma dato che tutti e tre la pensiamo nello stesso modo, via le API per il Backend.

    Magari vi devio un po la domanda:
    Oltre ad un login sicuro, un .htaccess che gestisce i permessi delle directory e dei file, cosa posso fare per impedire che mi buchino il Backend??

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.