保护REST接口

Question

在通过HTTP公开为JSON时，保护REST接口的一般步骤是什么？

以下是我的想法（将使用OAuth2进行身份验证）：

• 在客户端和服务器端清理输入
• 在安全端点上强制HTTPS
• 提供CSRF保护（在OAuth2流程中使用state param）
• 放置一个队列+缓存 - 例如：Redis-在端点和客户端之间，以及端点和后端组件之间;帮助处理可能的DDoS [以及一般性能]
• 确保防火墙和其他此类机制到位（网络服务器安全）

在使用此系统之前，你还有什么建议我击败阴影？

Answer 1

我的观点：

1-始终使用https，而不仅仅是在安全端点上。这将防止“中间人”类型的问题。 2- AFAIK，只有在实施“授权代码”授权类型时才需要CSRF保护。 3-对于轻微的DDoS攻击，使用类似apache的mod_evasive来防止在Web服务器层本身而不是进入应用层。对于主要的（你可以租用数百/数千台计算机的僵尸网络，现在几百美元），你需要一个昂贵的解决方案Akamai或类似的东西。