Application-level control of client navigation in a critical system

Abstract

[ES] El proyecto se enfoca al diseño e implementación de un servidor web que mejora el control de la navegación en Internet para clientes de un sistema. En este sistema los clientes necesitan acceder servicios web de terceros que proporcionan información en tiempo real. Este escenario de aplicación emula el de un sistema crítico en el que se permite acceso a APIs externos pero controlando la navegación en Internet y el acceso a servicios. Esta lógica de control se implementa a nivel de aplicación a través de un servidor web que actúa de cortafuegos e intermediario hacia los servicios externos autorizados. El servidor es concurrente, de forma que puede realizar simultáneamente operaciones computacionales costosas y monitorización del estado del sistema en paralelo con otras operaciones. Este esquema centralizado permite forzar políticas de control. Se realiza un estudio de rendimiento para comprobar el comportamiento temporal de la invocación directa respecto la invocación a través del servidor.

[EN] This project will design and implement a web-server that improves the control over the Internet navigation of the system clients. In this system, clients need to access given third party web services that provide real-time information. The application scenario resembles that of a critical system where external API access is possible, but some control over Internet navigation and service access is needed. This control is implemented at application level through a web server that acts as a firewall and intermediate point to the authorized external services. This server is multithreaded, so that it can simultaneously perform costly computations and monitoring of the system state in parallel with other operations. To check if a client is authorized to invoke a particular external API, API keys will be used a basic security measure; the server will record this information in a database. Such a centralized scheme enables to enforce policies such as: a client API key should be authorized to use the requested external API. For implementing muli-threading, the JavaScript API and the browser API for multi-threading will be studied and used in the case of Node.js. A performance study of the direct invocation of clients versus the invocation through the server will be performed to evaluate the cost of this scheme.