所以我即将完成我的第一个应用程序和API。它将在未来几周内投入使用并为市场做好准备。虽然我可以提供一些建议,但我对安全性有疑问。
应用程序(http://www.application.com)是否需要与api(http://api.application.com)进行双向通信的SSL证书,API是否还需要SSL证书?
或者我只是需要SSL应用程序,因为这将发送sesitive数据?
答案 0 :(得分:0)
仅保护您的API不够。如果应用程序通过浏览器(AJAX / XHR)与API通信,则当应用程序通过不安全连接加载时,应用程序很容易通过MITM进行攻击。攻击者可以更改加载的脚本,以便将数据发送到他的服务器(并从中接收)。
当您的应用程序与后端的API通信,并且API无法公开访问时,我还建议使用SSL保护它。它更具有前瞻性,可以保护服务器之间的信息发送,当您公开访问API时,不会出现问题。
所以,我的TL; DR答案:尽可能以最强的方式保护两者。您的用户数据,任何数据都是宝贵的,您负责安全地传输和存储它。每年节省几块钱并不值得。