在运输过程中如何保护REST API有效负载?

时间:2018-11-21 04:35:49

标签: python angularjs rest security encryption

我正在尝试找出确保REST API通信安全的方法。以下是考虑的项目。

  • 使用JWT启用基于令牌的身份验证
  • 启用HTTPS并限制通过HTTP的请求

我们的GUI与如上所述保护的服务层API进行交互。 GUI发出的所有请求都包含敏感信息,因此必须在每个地方保护数据。

简而言之,我们的GUI通过基于角色的身份验证得到保护,并且API如上所述得到保护。我仍然觉得GUI和服务之间的通信不够安全。

  • GUI的有效负载是否足够安全?还是也应该从GUI本身对有效载荷进行加密?

如果这不是问这个问题的正确地方,我很乐意将其移到正确的地方。

请指教! 预先谢谢你

1 个答案:

答案 0 :(得分:1)

我从帖子中了解到,您的GUI是基于安全角色的,而api是使用令牌和https保护的。

除了这些,据我了解,您的应用程序过于敏感,在这种情况下,我将执行以下操作以增加一些额外的安全性。

  1. 为GUI添加两步验证,以确保正确的人始终登录。

  2. 可能使用公钥/私钥对数据(即有效载荷)进行加密。在这种情况下,服务器端需要进行一些更改,因为它需要解密请求。

  3. 确保您的令牌具有生命周期,并且在一定时间后过期。

让我知道您是否正在寻找其他东西。