所以我想更多地了解API中的身份验证。我对安全性的运作方式知之甚少。
我正在为我的应用程序使用Auth0,它仅支持从社交媒体网站登录。我的API检查用户是否经过身份验证并检查正在发送的数据,以避免将错误的内容保存在数据库中(mongodb)。这就是我目前为保护我的API而实施的所有内容。用户是否可以通过简单地猜测其他用户_id来获取他登录时获得的自己的令牌并将信息发布到其他帐户。
例如,文章接收其所有内容和文章作者的ID。
如果可能的话,有哪些解决方案可以保护我的API。
欢迎任何有关确保API安全的其他提示!
答案 0 :(得分:1)
Auth0支持使用任何登录,而不仅仅是社交网络。您可以使用用户名/密码,LDAP服务器,SAML服务器等登录
令牌是一种安全的工件。作者不能在不损害令牌本身的情况下更改令牌中的id(例如,数字签名将失败),因此冒充其他人并非那么容易。您的API需要做的第一件事就是检查添加到请求中的令牌的完整性,并拒绝任何包含无效令牌(签名错误,过期等)。
这是一个需要大量内容的问题,所以我建议从这里开始:https://auth0.com/docs/api-auth