我正在使用REST构建spring应用程序,并希望保护这些方法,因为它们可以在Intranet内部访问,稍后也可以由某些客户访问。
所有请求仅为GET。如何实现基本但足够强大的安全性?一个额外的get参数,例如?key=12345,每个客户都有自己的密钥?
或者怎么做呢?
答案 0 :(得分:2)
首先,如果您将参数作为查询参数传递给URL,则任何人都可以使用嗅探器查看参数的值。
您必须使用SSL在标头中传递这些参数。因此,使用嗅探器无法读取这些参数。
编辑: 正如凯文所说,从嗅探器看不到这些信息。只有服务器IP。但仍然不确定:
答案 1 :(得分:0)
您在构建REST应用程序时有很多要点,如果某些内容与安全性有关,我建议您检查OWASP,查看链接以分析您需要关注的内容。
谈论它取决于您的架构的框架,我建议您分析的一些框架是下一个:
我希望它可以帮到你。