機密ではないデータを公開するメソッドを認証することは理にかなっていますか
私たちは、Angularアプリケーションを開発しています。これは、バスの座席のプロモーションだけで、機密ではない情報を公開するWebメソッドを使用します。ユーザーは、行きたい場所と時間を入力します。利用可能なオファー(存在する場合)。この情報は一般に公開されており、この情報を認証する必要はありません。この情報を簡単に収集できる方法を提供しています。
サービス自体にOAUTHを実装し、angularアプリケーションのサービスアカウントを作成することで、がこの情報にアクセスしようとしています。これは必要なことではないと私は思います。これは公開されている情報であり、アクセスしたい場合は、サイトの情報を解析したり、 Angularアプリが使用しています。ここで見逃しているメリットはありますか?
認証はデータを保護するだけではありません。リソースを保護します。
データは公開されているとおっしゃっていますが、サービスは公開されるべきものですか?公に利用可能であることは時間とお金がかかります。たとえば、DDoS攻撃を処理するための計画が必要です。
確かに、OATHの実装には時間と費用もかかります。それが「便利ですか」と尋ねる理由です。非常に賢明な質問です。リスクを特定し、損傷の可能性を推定します。次に、それらのリスクを軽減するコストを見積もります。
これは 費用便益分析 と呼ばれます。それはあなたがこの決定をするのを助けることができます。しかし、それは欠点があります。一部の企業はリスクの軽減にこだわっています。これを適用しようとすると、トンネルビジョンが得られます。あなたはコストが唯一の考慮事項であると考え始めます。
時間は別の巨大なものです。潜在的な問題の多くは、実際の問題になったら対処するのが最善です。どうして?私たちが予測することと起こることはめったに同じではないからです。
広報も無視してはならない。このデータはこのコンテキストでは機密ではないと思うかもしれませんが、だれかに許可すると、非常に異なるコンテキストになり、意図しない方法で分析される可能性があります。あなたはそれがニュースに当たったらどうなるかを学ぶでしょう。
しかし、おそらくこのデータを一般に公開するあなたのサイトでは公益のためのものです。多分それはあなたの会社を促進するのに役立ちます。それがあなたの会社にとってそれだけの価値があるなら、次に進んでください。