代码之家  ›  专栏  ›  技术社区  ›  Curnelious

.简单的1键REST API有什么风险?

security api rest
  •  0
  • Curnelious  · 技术社区  · 6 年前

    请原谅我,如果这是愚蠢的,不是我的领域。

    假设我想为我的用户提供如下API: 

    www.mydomain.com/USER-API-KEY/some-user-data

    USER-API-KEY 16个字符和数字是每个用户唯一的ID,只有他知道。

    假设用户使用它将数据写入服务器(Amazon/Firebase等)。

    不安全 ? 有没有一种方法可以通过保持这种简单性使这个API更安全地免受攻击?

    1 回复  |  直到 6 年前
        1
  •  1
  •   Gabor Lengyel    6 年前

    你所冒的风险完全取决于你自己。在URL中传递敏感信息(如访问令牌或api密钥)有其风险,但您可以决定接受这些风险。

    • URL被记录。它们会登录到中间代理,也会登录到实际为您的API提供服务的服务器。攻击者有可能获得对这些日志的访问权,从而破坏API密钥。

    • 您的某些客户端可能有明确的策略,禁止在URL中发送敏感数据。这意味着您的解决方案中的风险不仅是技术性的,如果您愿意,它还具有“客户关系方面”。

    您仍然可以决定这样做,老实说,这可能不是您的应用程序被黑客攻击的方式(如果有)。但接受这种风险应该是明智的决定。

    推荐文章
    Dev  ·  在laravel rest api中按特定角色获取所有用户
    2 年前
    IDskxo  ·  为什么我们需要添加。响应的end()?
    2 年前
    boomcreeper11  ·  不一致js未注册新的斜杠命令,因为应用程序名称必须唯一
    3 年前
    Muhammad Tahir Ali  ·  在Express Js中使用动态键和值动态创建JSON
    3 年前
    KollegeBo  ·  触发更新的POST或GET
    3 年前
    meren  ·  如何使用react向后端api请求用户提供的值?
    3 年前
    David Maman  ·  如何使用ilorest配置AMD首选IO总线号
    3 年前
    CaptTaifun  ·  如何对“多个”和“单个”对象使用相同的端点?
    3 年前
    Zsombor Szende  ·  汇率api从哪里获取数据?[闭门]
    3 年前
    Jack Duffy  ·  Django序列化一个JsonField,Django Rest API
    3 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号