这可能是一个愚蠢的问题,但是如何编写安全的RESTful API呢?如果我想确保客户端是有效用户,发送带有以下对象的发布请求是不明智的吗?
{
"user": "some_user",
"password": "some_password"
"field1": "some_data",
"field2": "some_more_data"
}
我目前犹豫不决那样做。是不是以明文形式向网络上的每个人以及客户端和服务器之间的所有内容显示用户名和密码?我应该使用SSL还是类似的东西?是否有任何RESTful安全读数您觉得有价值?
感谢您的帮助。
答案 0 :(得分:0)
对于RESTful API,建议不要在每个请求中传递JSON正文中的凭据,而是使用标头对每个调用进行身份验证。有关如何保护API的更多选项,您可以查看this blog,我为该公司工作的完整信息,但由于这是我们的工作,我认为这是一个很好的资源。