Obecnie mam za zadanie znaleźć sposób wdrożenia usług WFS na wielu klientach. Z usług mogą korzystać zarówno oprogramowanie GIS na komputery stacjonarne, np. MapInfo / ArcGIS, jak i rozwiązania Web GIS.
Czy w przypadku usługi WFS możliwe jest zdefiniowanie np. Nazwy użytkownika / hasła lub tokena, które należy przekazać w celu weryfikacji praw dostępu? (bezpieczeństwo na najwyższym poziomie nie jest konieczne)
Szukałem w specyfikacji OGC WFS, ale nie mogę znaleźć żadnych istotnych informacji na ten temat.
Odpowiedzi:
WFS nie ma zabezpieczeń w ramach standardu, ale możesz bez problemu używać HTTPS. Usługa Web Feature OpenGIS (WFS) Realizacja Specyfikacja (04-094) [s. 6.3.4] mówi:
Zasadniczo wdrożenie dowolnej funkcji HTTPS zależy wyłącznie od Ciebie. Mapserver może poradzić sobie z HTTPS, o ile wiem , ale nigdy tego nie próbowałem. W rzeczywistości byłbym bardzo zainteresowany tym, co wymyślisz.
źródło
Jeśli chcesz dyskretnie zarządzać dostępem do tej usługi, za pomocą rozwiązania jednokrotnego logowania możesz zaimplementować następujące elementy. Obecnie nie ma usług typu open source, które wdrażają tego rodzaju rozwiązanie bezpieczeństwa.
Pierwsza część to usługa internetowa, która działa jako mediator między WFS a użytkownikiem. Ta usługa sieciowa będzie zarządzać dostępem użytkowników do warstw WFS i przeprowadzać niezbędne kontrole krzyżowe za pomocą kontroli dostępu do Active Directory lub Kerberos. Ta usługa przekaże do serwera WFS żądania, które są uwierzytelnione i dozwolone. To jest serwis internetowy Marshaling.
Drugą częścią jest wymuszenie na serwerze WFS, aby ufał tylko żądaniom z Marshaling Service. Jest to funkcja serwera WWW, która ogranicza adresy IP, z których będzie akceptować połączenia / żądania.
Istnieją usługi Marshaling na sprzedaż. Osobiście napisałem własny, aby zabezpieczyć instancję GeoServer, aby mogła ona zostać zintegrowana z bardzo dużym sklepem Microsoft. Dozwolone było przypisywanie użytkowników do grup i zarządzanie dostępem do zbiorów danych za pośrednictwem usługi Marshaling.
Gwarantujemy, że są bezpieczne i nie wpływają na wydajność komunikacji.
Jeśli chcesz diagramy tej infrastruktury dla lepszego zrozumienia lub nazwy niektórych dostawców daj mi znać (e-mail). Nie jestem w żaden sposób powiązany z dostawcami, po prostu znam ich nazwy. Wolę pisać własne;)
To może być dobry projekt Open Source :) :)
źródło