При работе с веб-сервисами кроме авторизации ещё нужно получать CSRF-токен. Если в итоге с авторизацией через AuthService не получится, можно переделать на basic-аутентификацию, как поступил автор темы тут. Правда, её не рекомендуют из-за недостатков.
Хотелось бы узнать, насколько безопасно развертывание веб-сервиса Terrasoft наружу в интернет? Есть ли где в свободном доступе описание используемых механизмов защиты, проводился ли анализ защищенности, отнесение к тому или иному классу безопасности?
Добрый день!
Оценка безопасности web-сервисов зависит исключительно от уровня безопасности, предоставляемого выбранным web-сервером (IIS, Apache), так как именно им обеспечивается шифрование передаваемых пакетов и т.д. В случае, если Вы хотите использовать шифрование данных - Вам необходимо настроить для web-сервисов SSL соединение по протоколу https.
Более подробно о настройке SSL соединения Вы можете прочитать в руководстве администратора, которое доступно по следующей ссылке: http://training.terrasoft.ru/sites/default/files/document/TS_AG_3.3.2.pdf
Я бы также хотел добавить, что рассматривать возможность использования Web сервисов нужно только в том случае, если не доступны другие способы. Например, VPN использовать предпочтительнее.
Да, VPN необходимо предварительно настроить. При этом данная задача является исключительно задачей системного администрирования и осуществляется возможностями операционной системы, либо сторонних утилит. Для использования VPN-туннеля Вам необходимо настроить VPN-сервер, а также подключения на клиентских ПК.
В частности, при настройке VPN-сервера на Windows XP и Windows 7 Вы можете опираться на прикрепленные документы. Данные руководства являются наиболее упрощенными примерами настройки.
