我的数据库中有一个表,我必须根据一些参数从中定期获取一些数据。我当时想做的是制作一个API,该API从服务器中获取我的数据(https上的POST请求)。这是使用身份验证令牌以身份验证的方式完成的。 在讨论相同内容时,有人建议应授予特定人员数据库访问权限,然后他使用SQL或其他方法直接与数据库建立联系。他的直接访问数据库的论据是,如果有人在访问时操纵了API中的数据,我们可能会得到错误的结果。因此,在进行直接数据库连接时,除非并且除非暴露他的配置文件,否则一切都是安全的。没有人可以操纵任何东西。
我不相信这个想法。我认为直接访问数据库会暴露整个数据库,这本身就是一个很大的威胁。另外,如果威胁很大,人们可以更改API中的数据,那么为什么每个人都会使用它。我不清楚整个过程如何工作!
因此,我想在这里理解的是,每当我们进行使用auth_token进行身份验证的API调用时,仍然有人可能会捕获数据吗?有人还能在请求中看到我发送的数据吗?
我不太了解这些内容,只需要一些帮助。也许合适的文章可以帮助我理解哪些数据被公开,哪些数据未被公开。请帮助。谢谢!
答案 0 :(得分:1)
绝对不能将整个数据库配置公开给最终用户,因为这会带来很多安全问题。最终用户将看到比所需更多的信息,并且最终用户还必须连接到db并填充查询以获取数据。服务器端将没有任何验证。
也许可以通过在Web服务器中安装SSL证书来为API提供更多保护。这将有助于防止中间人攻击。