我有一个名为webservice的{{1}}。它所采用的参数是http://mywebsite.com/myapp/findname。当我提供名称时,返回结果将是该人的实际细节。
我担心这个例子的安全性。如果有人获得name网址会发生什么情况(这可以通过浏览网页来轻松获得)。任何人都可以使用我的Webservice传递一些数据并检索信息。
那我怎么能避免这个呢?
答案 0 :(得分:1)
出于安全目的,您将询问有效的usertakon(可以在注册时使用随机数生成),当您收到usertakon(作为参数)时,首先将此usertoken与您的数据库匹配,以验证用户是否有效或不,如果用户有效,那么你给予回应,否则在第一级限制它。
答案 1 :(得分:0)
基本上, 您可以通过以下步骤解决此问题。 首先是登录API。在那个api中,你需要在响应中提供一些令牌。 如果用户请求再次登录,请更改它。 你可以在每个请求中请求令牌。如果令牌有效,则允许他访问API响应。如果令牌无效则显示无效请求