Web Service Security (Part 1 of 2)
Akhir pekan, saatnya posting blog.
Pada posting-posting sebelumnya telah dibahas bagaimana cara memanfaatkan Web Service dengan format XML maupun JSON. Sekedar mengingat definisi Web Service dapat dilihat di situs Wikipedia
Sebagian isi bahasan tentang Web Service Security ini saya adopsi dari penjelasan yang dapat dilihat di situs resmi Microsoft yang membahas tentang Web Service Security Guide yang dapat juga di download file PDF nya.
Kalau kita mempelajari Web Service Security akan sangat komplek dan akan membutuhkan berlembar-lembar kertas untuk menjelaskannya, waktu, dan pengalaman, so jangan mengharapkan saya untuk menjelaskan semuanya. Kita akan membahas sesederhana mungkin tentang Web Service Security.
Berikut ini 3 Inti Pola Web Service Security :
1. Authentication
2. Message Protection
3. Transport & Message Layer Security
Authentication dapat digambarkan sebagai proses pengidentifikasian menggunakan penanda pada setiap user. Proses ini biasanya dilaksanakan dengan segera setelah proses identifikasi dilakukan. Setelah otentikasi berhasil maka user akan mendapatkan otorisasi untuk melanjutkan proses. Dengan otentikasi maka akan dapat menentukan user mana saja yang diperbolehkan melakukan eksekusi Web Service.
Jenis otentikasi dibagi menjadi 2, yaitu otentikasi secara langsung dan otentifikasi dengan perantara.
Berikut ini adalah gambar perbedaan dua jenis otentikasi tersebut :
Message Protection, melindungi pesan yang dikirim oleh Web Service sangatlah penting, hal ini disebabkan data yang dikirim berupa plaintext dan melewati protokol standard internet (HTTP), data yang dikirim dengan plaintext akan mudah dilihat dengan tool packet sniffer. Dengan melindungi pesan diharapkan dapat melindungi data-data yang bersifat sensitif.
Solusi yang digunakan untuk melindungi pesan yang dikirim adalah dengan cara enkripsi. Enkripsi yang dilakukan bisa dengan cara Symmetric Cryptography maupun Asymmetric Cryptography.
Berikut ini adalah gambar perbedaan dua cara enkripsi pesan.
Transport & Message Layer Security, pada pola ini menggambarkan pendekatan yang mendasari bahwa pengamanan web service dilakukan oleh sistem operasi atau server aplikasi. Untuk data yang sensitif dan penting, Secure Socket Layer merupakan transport layer yang umum digunakan untuk menyediakan enkripsi data. Contoh yang sering kita jumpai adalah pada saat melakukan login ke akun Google atau Paypal, data yang dikirim dilewatkan melewati HTTPS.
Berikut ini adalah gambar pengiriman data melewati protocol SSL
Sampai disini saya harap cukup jelas. Posting ini dibuat sesederhana mungkin dan saya berharap dapat dengan mudah dicerna.
Contoh untuk Transport dan Message Layer Security dapat anda lihat di postingan lainnya mengenai Self Certificate.
Sedangkan untuk otentikasi dapat menerapkan Basic, Digest, maupun secara manual.
Silahkan lihat posting yang lain mengenai securing-web-service-access-with-session
dan securing-web-service-access-with-soap
Saya juga menunggu partisipasi dari teman-teman untuk memberikan link-link mengenai sample program untuk Web Service Security.
Salam.
Pada posting-posting sebelumnya telah dibahas bagaimana cara memanfaatkan Web Service dengan format XML maupun JSON. Sekedar mengingat definisi Web Service dapat dilihat di situs Wikipedia
Sebagian isi bahasan tentang Web Service Security ini saya adopsi dari penjelasan yang dapat dilihat di situs resmi Microsoft yang membahas tentang Web Service Security Guide yang dapat juga di download file PDF nya.
Kalau kita mempelajari Web Service Security akan sangat komplek dan akan membutuhkan berlembar-lembar kertas untuk menjelaskannya, waktu, dan pengalaman, so jangan mengharapkan saya untuk menjelaskan semuanya. Kita akan membahas sesederhana mungkin tentang Web Service Security.
Berikut ini 3 Inti Pola Web Service Security :
1. Authentication
2. Message Protection
3. Transport & Message Layer Security
Authentication dapat digambarkan sebagai proses pengidentifikasian menggunakan penanda pada setiap user. Proses ini biasanya dilaksanakan dengan segera setelah proses identifikasi dilakukan. Setelah otentikasi berhasil maka user akan mendapatkan otorisasi untuk melanjutkan proses. Dengan otentikasi maka akan dapat menentukan user mana saja yang diperbolehkan melakukan eksekusi Web Service.
Jenis otentikasi dibagi menjadi 2, yaitu otentikasi secara langsung dan otentifikasi dengan perantara.
Berikut ini adalah gambar perbedaan dua jenis otentikasi tersebut :
Message Protection, melindungi pesan yang dikirim oleh Web Service sangatlah penting, hal ini disebabkan data yang dikirim berupa plaintext dan melewati protokol standard internet (HTTP), data yang dikirim dengan plaintext akan mudah dilihat dengan tool packet sniffer. Dengan melindungi pesan diharapkan dapat melindungi data-data yang bersifat sensitif.
Solusi yang digunakan untuk melindungi pesan yang dikirim adalah dengan cara enkripsi. Enkripsi yang dilakukan bisa dengan cara Symmetric Cryptography maupun Asymmetric Cryptography.
Berikut ini adalah gambar perbedaan dua cara enkripsi pesan.
Transport & Message Layer Security, pada pola ini menggambarkan pendekatan yang mendasari bahwa pengamanan web service dilakukan oleh sistem operasi atau server aplikasi. Untuk data yang sensitif dan penting, Secure Socket Layer merupakan transport layer yang umum digunakan untuk menyediakan enkripsi data. Contoh yang sering kita jumpai adalah pada saat melakukan login ke akun Google atau Paypal, data yang dikirim dilewatkan melewati HTTPS.
Berikut ini adalah gambar pengiriman data melewati protocol SSL
Sampai disini saya harap cukup jelas. Posting ini dibuat sesederhana mungkin dan saya berharap dapat dengan mudah dicerna.
Contoh untuk Transport dan Message Layer Security dapat anda lihat di postingan lainnya mengenai Self Certificate.
Sedangkan untuk otentikasi dapat menerapkan Basic, Digest, maupun secara manual.
Silahkan lihat posting yang lain mengenai securing-web-service-access-with-session
dan securing-web-service-access-with-soap
Saya juga menunggu partisipasi dari teman-teman untuk memberikan link-link mengenai sample program untuk Web Service Security.
Salam.