当应用程序、地图或 Web 服务通过公共(面向 Internet 且可匿名访问)网站或应用程序(通常面向公共用户)提供时,常见的问题是如何正确保护该访问。 组织希望通过跳过身份验证或已建立账户让用户(例如普通公众)轻松访问。 他们希望确保数据不会被这些最终用户滥用、不当访问或保留,这很合乎情理。
在大多数基于 Web 的工作流中,客户端(通常是 Web 浏览器)从 Web 服务器请求信息,通常以地图图像、一组空间要素和属性或者栅格或矢量地图切片的形式。 这些请求会产生一个响应,该响应被发送回客户端,客户端会将数据的部分或完整制图表达移动到用户的客户端设备,用于呈现指示器或图像或提供所需的地图体验。 提供了数据访问的注意事项以及常见服务类型。
访问地图图像图层(也称为动态地图服务)时,响应图像仅包含像素,像素是具有特定制图配置的数据的制图表达。 它在服务器上生成,并以图像的形式返回到客户端。 可以将地图服务配置为仅允许这种类型的动态地图图像。 为此,可禁用地图服务的查询功能。 这将阻止将任何个人数据记录共享给客户端。 但是,此配置可能会减少功能,并且应仅在简单的地图显示足以时考虑。
要素图层可以基于地图或要素服务创建。 它们与地图图像图层不同,因为它们需要将要素数据(包括其几何和属性)从服务器返回到客户端,并在客户端浏览器中呈现。 任何可公开访问的要素图层都会不断向客户端发送数据块,这可能是一次从服务器请求特定地理范围或一组要素。 当应用程序使用要素层时,客户端会下载数据以正确呈现数据。 由于要素图层_依赖于_向客户端的数据传输,因此_“我想确保用户不会下载数据”_等要求在功能上与依赖于要素图层的应用程序或工作流不兼容。
影像服务允许用户动态请求特定范围以生成影像。 原始图像分辨率可以返回数据的实际栅格制图表达,最大可达服务允许的最大图像大小。 这些图像也会下载到客户端(如 Web、桌面或移动客户端),并实际上将该数据子集直接共享给客户端。 影像服务还支持下载功能(默认不启用),该功能允许下载原始图像或转换后的格式。 除非应用程序中的功能特别需要,否则通常应禁用此功能。
在上述服务类型中,只有在地图图像图层场景下,才能真正限制数据仅供用户访问。 由于传输数据的方式是通过呈现的图像,因此没有可用的属性或特定几何。
当数据和服务公开时,仍有几种方法可以对服务应用一定程度的限制,以减少用户数量或公众曝光。
基于 Referrer 的限制是限制数据使用的一种常见模式。 这需要反向代理或其他类型的代理,这些代理可以检查对服务的单个 HTTP 请求,并拒绝未提供 Referrer HTTP 请求标头(其值与 allow 列表匹配)的请求。 按照约定,所有浏览器都会在从另一个域请求资源的应用程序中生成和发送此请求标头,因此它是控制基于浏览器的流量的可靠方法。
这可能是阻止某些滥用的有效方法,但并不能完全_保护_数据,因为 referrer 标头很容易被蓄意伪造身份的一方攻击或添加到脚本编写或编程请求中,以允许请求通过代理。 ArcGIS Location Platform API 密钥的范围可以限定为仅支持 referrer 标头中的特定域,并且同样仅限于在该域上的应用程序中使用,或者由可以攻击该标头值的蓄意伪造身份的一方使用。
要保护访问,另一种选择是根据源 IP 范围限制请求。 它允许匿名请求资源,但前提是请求的发起 IP 在预期范围内,例如组织的局域网或基于 NAT 的外部 IP。 这些限制可以在 Web 服务器、负载均衡器或反向代理级别下应用。 基于 IP 的过滤器还可用于过滤来自某些国家或地区的访问,或允许来自具有固定外部 IP 地址的特定系统的访问。
要限制重用公共层,另一种常见方法是使用 API 密钥。 这涉及向每个请求添加 API 密钥,该密钥由 API 管理或反向代理层验证,并拒绝不含有效 API 密钥的请求。 虽然这可以防止简单的滥用,但对于蓄意伪造身份的用户来说,识别正在使用的 API 密钥并重用该密钥以在专用应用程序或服务中发出请求相对容易。 API 密钥从浏览器或客户端应用程序发送到服务器,因此它们始终对客户端可见,并且有可能被提取并重用于其他目的。 要降低此风险,最佳方法是按密钥强制实施允许的 referrer,并监测密钥是否意外或恶意使用。
总之,当应用程序或服务的目标受众是更广泛的公众时,最好将该应用程序中的所有可访问数据视为_完全公开_的数据。 上面建议的大多数限制都可以解决,并且蓄意伪造身份的一方通常可以找到一种方法来提取数据副本以供重用。 要减轻对公开共享数据的担忧,可通过仔细管理访问、免责声明以及通过公共数据站点提供数据等方法,通过这些做法,可以部分缓解对不当使用的一些担忧。