我最近开发了一个RESTful服务,我的Windows桌面应用程序用于从位于Linode服务器上的MySQL数据库中检索信息。桌面应用程序使用.Net编写并进行模糊处理,以便对所有URL进行编码。我在Spring开发了RESTful服务,但是Spring Security遇到了很多问题,我认为可能认证不是必需的,因为我是唯一的用户。如果代码被混淆,那么任何人都很难获得端点并开始使用我的Web服务。所以问题是,我的逻辑是有效的,还是我应该保护我的API,即使我不得不与OAuth和Spring斗争?
答案 0 :(得分:2)
在我看来,这取决于几个因素,例如:
如果这是真的,您应该提供基本的OAuth。 但这样做通常是一种很好的做法(甚至是“必须”)。
答案 1 :(得分:1)
是。即使使用混淆代码,启动Fiddler并观看您的应用正在进行的所有网络调用也是微不足道的。如果您未对API端的呼叫进行身份验证,则恶意用户可以读取或更改他们无权访问的数据。