Wie sichere ich WFS-Dienste?

Ich bin derzeit damit beauftragt, eine Möglichkeit zu finden, WFS-Dienste für eine Reihe von Clients bereitzustellen. Die Dienste können sowohl von Desktop-GIS-Software, z. B. MapInfo / ArcGIS, als auch von Web-GIS-Lösungen genutzt werden.

Kann ein WFS-Dienst z. B. einen Benutzernamen / ein Kennwort oder ein Token definieren, das zur Überprüfung der Zugriffsrechte weitergegeben werden soll? (Erstklassige Sicherheit ist nicht erforderlich)

Ich habe in der OGC-WFS-Spezifikation gesucht, aber ich kann anscheinend keine relevanten Informationen dazu finden.

WFS hat keine Sicherheit als Teil des Standards, aber Sie können HTTPS problemlos verwenden. Die Implementierungsspezifikation für den OpenGIS Web Feature Service (WFS) (04-094) [s. 6.3.4] sagt:

Die Verwendung von HTTPS hat keinen Einfluss auf die Beschreibung der in dieser Spezifikation beschriebenen Anforderungen und Antworten. Möglicherweise müssen jedoch zusätzliche Aktionen sowohl auf dem Client als auch auf dem Dienst ausgeführt werden, um die sichere Kommunikation einzuleiten.

Im Grunde liegt es also ganz bei Ihnen, jegliche HTTPS-Funktionalität zu implementieren. Mapserver kommt mit HTTPS zurecht, soweit ich das beurteilen kann , aber ich habe es noch nie ausprobiert. Tatsächlich wäre ich sehr daran interessiert zu sehen, was Ihnen einfällt.

Wenn Sie den Zugriff auf diesen Dienst unauffällig verwalten möchten, können Sie über eine Single Sign-On-Lösung Folgendes implementieren. Derzeit gibt es keine Open Source-Dienste, die diese Art von Sicherheitslösung implementieren.

Der erste Teil ist ein Webdienst, der als Vermittler zwischen dem WFS und dem Benutzer fungiert. Dieser Webdienst verwaltet den Benutzerzugriff auf WFS-Ebenen und führt die erforderlichen Gegenprüfungen mit einer Active Domain- oder Kerberos-Authentifizierungszugriffskontrolle durch. Dieser Dienst leitet die authentifizierten und zulässigen Anforderungen an den WFS-Server weiter. Dies ist ein Marshaling-Webdienst.

Der zweite Teil besteht darin, den WFS-Server so zu konfigurieren, dass nur Anforderungen vom Marshaling-Dienst vertraut werden. Dies ist eine Webserver-Funktion, die die IP-Adressen einschränkt, von denen Verbindungen / Anfragen angenommen werden.

Es gibt Marshaling-Dienste zum Verkauf. Ich habe meine eigene geschrieben, um eine GeoServer-Instanz zu sichern, damit sie in einen sehr großen Microsoft-Shop integriert werden kann. Benutzer können Gruppen zugewiesen und der Zugriff auf Datasets über den Marshaling-Dienst verwaltet werden.

Garantiert sicher und beeinträchtigt nicht die Kommunikationsleistung.

Wenn Sie Diagramme dieser Infrastruktur zum besseren Verständnis oder die Namen einiger Anbieter benötigen, lassen Sie es mich wissen (E-Mail). Ich bin in keiner Weise mit Anbietern verbunden, ich kenne nur deren Namen. Ich schreibe lieber selbst;)

Dies könnte ein gutes Open Source Projekt sein :) :)