我的应用程序允许用户连接到我的后端,从后端将请求重定向到另一个网站的外部API。
此其他网站允许通过使用应用程序和私钥来访问REST API。出于安全目的,密钥存储在我的后端服务器中。另一个网站允许其他开发人员/管理员使用相同的REST API密钥创建他们自己的网站实例,但内容不同。
所以流程如下:
在请求信息的过程中,客户端需要指定后端服务器应通过URI连接到哪个外部API。
考虑到安全性,我注意到我的系统存在一个大问题:用户可以发送一个“REST API”的URI,它实际上捕获了后端服务器和坏的“REST API”之间的所有数据。 。这样,错误的URI可以捕获秘密REST API密钥以用于恶意目的。
如何确保客户端提供给后端服务器的URI是外部REST API的合法URI,而不仅仅是随机,错误或恶意的URI?
我提出的唯一解决方案是检查URI合法性的数据库,以解决此问题。