###前提・実現したいこと
インターネット向けWebページの開発・運用を実施したく検討しております。
現状、まだ開発は実施していません。
できれば、AWSの各種サービスを用いて実現したいと考えています。
前提として、開発を検討しているインターネット向けWebページからは随時プライベートなネットワークに存在するデータベース等との通信を発生させたいです。
既に両者間のアクセスを実現するための認証のような動きをするサーバ(以下認証サーバとします)は存在しており、REST APIにより認証、各種処理を実施します。
上記認証サーバは元々本件の目的のために導入されたものではありませんが、今回の目的にも利用できるのではと考えています。
###発生している問題・エラーメッセージ
標題にもありますとおり、セキュリティをどう実現するかが不明で先が見通せずにいます。
開発はHTML + JavaScriptで行い、認証はREST APIですので、試しに動作させるだけであればコード上に認証キー等をハードコーディングしHTTPリクエストを適切に発生させれば動作はします。
ただし、単純にハードコーディングしただけですとブラウザのコンテキストメニュー(右クリック)から「ページのソースを表示」などとするだけで認証サーバの認証キーが把握できてしまうと思います。
この認証キーをどう隠蔽するのかが課題です。
多く存在するECサイト(例えばAmazonや楽天)等でも確実にプライベートな環境との通信は発生していると思いますが、セキュリティに配慮したインターネットとプライベートネットワークとの通信というのは一般的にどのように実現しているのか知見がなく、ご意見をお聞きできればと考えています。
###試したこと
今回はAWSの利用を検討していますので、AWS Lambdaを利用し、認証処理をlambdaの1サービスで済ませてしまえばユーザーからは認証情報が隠蔽されているように見えるかな・・と考えていますが、それが通常の方法なのかどうか知見がありません。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/04/17 07:42
2017/04/17 08:04
2017/04/17 08:45