问OSB安全性，是否值得同时保护代理服务和业务服务？

EN

我将为您链接到文档的几个部分：

• 9.4商业服务的安全和安全政策
• 49.2商业和代理服务的安全和安全政策

现在，当您说“如果业务服务不安全”时，您实际上是在指出需要理解的内容。可以从编写代理服务的代理服务外部的上下文中调用业务服务吗？我想说的是，您可以从OSB中的ANY代理服务调用大量的业务服务，因此如果您认为在OSB级别上，您担心某些开发人员可能会对您的业务服务进行编码并调用它，而不需要提供某种身份验证/授权，那么您可能需要保护它。

此外，如果您能够从外部调用Business (就像您使用代理服务时那样)，那么您可能会面临同样的问题，如果有人碰巧找到了该服务的URL，就会让他们调用该服务。

这可能不是最好的答案，但我认为您的问题可以用一些改进来更具体地问，“业务服务可以直接从SBConsole之外调用吗？”，不幸的是，我没有一个很好的答案。

我认为一个更好的问题是“OSB业务服务可以从哪些向量中调用？”正如它指出的那样，为了确保人们不会直接调用您敏感的业务服务，您必须在哪里查找。

在我看来，只保护代理服务是明智的。与代理服务不同的是，业务服务没有端点URI来通过internet向其他服务/代理公开它们。因此，除非开发人员显式地“引用”他的代理服务到您正在使用的业务服务，否则我认为确保业务服务从其他代理、客户端错误使用是没有意义的。

请注意，出于上述同样的原因，我们只向外部世界(客户、其他服务等)公开代理，而不是业务服务。业务服务仅用于连接到终端系统(遗留系统、其他JMS服务、JMS队列、siebel系统等)。