这个问题可能听起来微不足道,但即使在阅读了一些教程之后,我仍然无法了解如何实现REST安全性。
我有一个网页和即将推出的移动应用。它们都将使用REST API(用node.js编写),问题是 - 如何防止用户对这些请求进行编写?可以很容易地看到浏览器中的网络流量以及对服务器发出的所有GET / POST请求。复制此类请求,修改其参数和/或有效负载并将其发送到服务器似乎也很容易。
如何确保这是我的网页或提出请求的应用,而不是其他人?
答案 0 :(得分:3)
Sisyphus绝对正确:您的重点应放在保护频道(TLS,SSH等)和身份验证(例如OAuth2)上。
您应该完全熟悉Open Web Application Security Project (OWASP)。特别是,从:
开始这是一本优秀的“实践”教程,可让您全面了解需要担心的所有不同内容:
一旦您完成了教程并扫描了OWASP备忘单,您就可以更好地了解需要担心的事项,可用于减轻这些风险的选项/技术,以及可能最适合您的特定情况。
祝你好运!答案 1 :(得分:2)
通常,安全性最近使用传输层安全性和OAuth2的组合。 OAuth2提供身份验证和授权,确保对资源的适当访问,TLS既可以通过网络保护数据,也可以防止您担心的重播攻击。它们都不是Restful API的特定功能,您也可以在非Rest环境中使用它们。