亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

保護RESTAPI/Web服務的最佳實踐

保護RESTAPI/Web服務的最佳實踐

守著星空守著你 2019-06-29 11:17:38
保護RESTAPI/Web服務的最佳實踐在設計RESTAPI或服務時,是否有任何已建立的處理安全性的最佳實踐(身份驗證、授權、身份管理)?在構建SOAPAPI時,您可以使用WS-Security作為指南,并且有很多關于這個主題的文獻。我發現有關保護REST端點的信息較少。雖然我理解REST無意中沒有類似WS-*的規范,但我希望最佳實踐或推薦的模式已經出現。如能與相關文件進行任何討論或鏈接,將不勝感激。如果有關系,我們將使用WCF和POX/JSON序列化消息,用于使用.NET Framework的v3.5構建的RESTAPI/Services。
查看完整描述

3 回答

?
慕斯王

TA貢獻1864條經驗 獲得超2個贊

正如微調所言,AmazonS 3是一個很好的工作模式。它們的請求簽名確實具有一些特性(例如包含時間戳),這些特性有助于防止意外和惡意請求重放。

HTTPBasic的好處是幾乎所有HTTP庫都支持它。當然,在這種情況下,您需要使用SSL,因為通過網絡發送明文密碼幾乎是一件壞事。在使用SSL時,Basic比Digest更可取,因為即使調用方已經知道需要憑據,Digest也需要額外的往返來交換當前值。使用Basic,調用方只需第一次發送憑據即可。

一旦建立了客戶端的身份,授權實際上只是一個實現問題。但是,可以使用現有的授權模型將授權委托給其他組件。同樣,這里關于Basic的好處是,您的服務器最終得到了客戶機密碼的明文副本,您可以根據需要將其傳遞到基礎結構中的另一個組件。


查看完整回答
反對 回復 2019-06-29
?
繁花不似錦

TA貢獻1851條經驗 獲得超4個贊

除了HTTP,沒有其他的REST標準。外面有固定的休息服務。我建議你看一眼他們,看看他們是怎么工作的。

例如,我們在開發自己的S3 REST服務時,借鑒了很多亞馬遜的S3 REST服務。但是我們選擇不使用基于請求簽名的更高級的安全模型。更簡單的方法是基于SSL的HTTPBasicauth。你必須決定什么在你的情況下最有效。

另外,我強烈推薦這本書。RESTful Web服務奧萊利的。它解釋了核心概念,并提供了一些最佳實踐。您通??梢允褂盟麄兲峁┑哪P筒⑵溆成涞侥约旱膽贸绦蛑?。


查看完整回答
反對 回復 2019-06-29
?
白豬掌柜的

TA貢獻1893條經驗 獲得超10個贊

你也可以看看奧奧斯,一種新出現的基于令牌的授權開放協議,專門針對HTTPAPI。

它非常類似于Flickr記住牛奶“REST”API(不一定是RESTfulAPI的好例子,而是基于令牌的方法的好例子)。


查看完整回答
反對 回復 2019-06-29
  • 3 回答
  • 0 關注
  • 718 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

公眾號

掃描二維碼
關注慕課網微信公眾號