我们有一个API,目前仅供我们的新网站使用。我想了解一下stackoverflowers如何考虑这个api的安全性。
1)受SSL保护
2)登录时,会发送用户的“IP”以及用户和密码。然后将API附加到会话,并发回会话令牌。每当进行下一次调用时,都会传递userID,session和ip。然后用正确的sessiontoken和ip验证userID,如果它的好,则执行该方法。
3)webservice本身受到保护,只允许从托管服务器的ip进行访问。
谢谢, 费萨尔阿比德
答案 0 :(得分:1)
我不明白为什么要传递ip地址。这应该从TCP套接字中拉出,并且不会被攻击者欺骗或以其他方式影响。
会话ID应为Cryptographic Nonce,理想情况下,您将使用平台中已有的会话处理程序。重新发明轮子是没有意义的。