1. ホーム
  2. 質問と答え
  3. ウェブAPIを安全にするには?

ウェブAPIを安全にするには?

2011-11-07 17 views
8

jsonを返す単純なWeb APIを作成しています。ウェブAPIを安全にするには?

これは簡単な操作を実行します。

ユーザーを認証する最も良い方法は何ですか、ここではOAuthが主な推奨事項ですが、私は単純にトークンベースのAPIキーを実装することができますか?

提案のヒントは素晴らしいことだすべてのアイデアは、感謝

UPDATEは:言及を忘れ、このAPIは文句を言わない一般comsumptionため、そのちょうど私自身の使用のためになるが、私は誰かがあまりにも簡単場合における取得カントを確認します彼らはそれにつまずく。

出典

2011-11-07 Rigobert Song

答えて

3

まず、良いAPIを構築するには、他の人のAPIを使用してその動作を確認する必要があります。 RESTfulにするには、本当に大きな乱数または「暗号ノンス」であるAPIキーが使用されます。しかし、実際これは永遠のセッションIDのようなもので、ユーザーの認証情報を調べるのはそれほど大したことではありません。あなた自身のシステムkerberosが非常に安全であることを望むなら、OAuthは素晴らしいです。

hijack json responsesとすることができます。これはjsonに対する落とし穴です。要求ごとにAPIキーが必要な場合、攻撃者はこのメソッドを使用できません。

出典

2011-11-07 15:15:14 rook

+0

ありがとうございました!リクエストが来るIPを知っているので、APIで十分かもしれません。 –

+0

@Rigobert Songは、私が知っているAPIがないというのは本当に悪い考えです。あなたはjsonハイジャックのためにドアを開ける。 IPアドレスはユーザーによって共有されます。多くの企業や学校では負荷分散によってユーザーのIPアドレスが変更されるため、無駄になります。 – rook

+0

申し訳ありませんがAPIキーを意味する!私は質問を更新しました。それは私の使用のためだけであり、公のAPiではありません! –

関連する問題

 関連する問題