我目前正致力于为Bank开发Rest API。在Rest API中,URI是唯一标识的。这意味着我们必须在请求URL中传递资源ID 例如:
但是由于安全原因,问题在于我的银行在URI中传递了id。 (URI可以读取任何一个)
有人可以让我知道是否有任何行业级别的最佳做法可以克服此安全问题而不违反Rest Resource命名原则?
答案 0 :(得分:1)
但是由于安全原因,问题在于我的银行在URI中传递了id。 (URI可以读取任何一个)
也就是说,如果您没有使用TLS / SSL,那么无论如何在银行等安全关键环境中都是不可取的!如果某人能够阅读您的请求,他就能够读取您的HTTP流量,因此没有真正的方法可以保护通过此线路发送的任何内容,无论是在URL,头部还是内容中都可以保护!
如果您无法在URI中添加任何内容,那么您将很难开发出干净简洁的restfull HTTP API!