Questions tagged «rest-security»

18
保护REST API / Web服务的最佳做法
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 2年前关闭。 在设计REST API或服务时,是否存在用于处理安全性(身份验证,授权,身份管理)的最佳实践? 在构建SOAP API时,您以WS-Security为指南,并且有关该主题的文献很多。我发现有关保护REST端点的信息较少。 尽管我了解REST故意没有类似于WS- *的规范,但我希望出现了最佳实践或推荐的模式。 任何讨论或相关文件的链接将不胜感激。如果重要的话,我们将使用WCF和POX / JSON序列化消息,以使用.NET Framework v3.5构建的REST API /服务。


6
REST身份验证方案的安全性
背景: 我正在为REST Web服务设计身份验证方案。这并不是“真正”需要安全的(它更多是一个个人项目),但我想使其与练习/学习经验一样安全。我不想使用SSL,因为我不想麻烦,而在大多数情况下,它不需要设置它。 这些SO问题对于帮助我入门特别有用: RESTful身份验证 保护REST API /网络服务的最佳做法 最佳SOAP / REST / RPC Web API的示例?你为什么喜欢他们?那他们怎么了? 我正在考虑使用Amazon S3身份验证的简化版本(我喜欢OAuth,但对于我的需求而言似乎太复杂了)。我在请求中添加了服务器提供的随机生成的随机数,以防止重放攻击。 要解决这个问题: S3和OAuth都依赖于对请求URL以及一些选定的标头进行签名。他们都没有在 POST或PUT请求的请求主体上签名。这难道不容易受到中间人攻击,这种中间人攻击会保留url和标头并用攻击者想要的任何数据替换请求正文? 似乎我可以通过在请求的字符串中包含请求主体的哈希值来防止这种情况发生。这样安全吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.