Вопросы с тегом 'rest-security'

Тег безопасности RESTful группирует все сообщения, связанные с защитой приложений REST
18

Рекомендации по защите REST API/веб-службы

При разработке API или службы REST существуют ли какие-либо установленные рекомендации по защите (аутентификация, авторизация, управление идентификацией)? При создании SOAP API у вас есть WS-Security в качестве руководства, и существует много литера...
11 авг. '08 в 5:44
13

Аутентификация RESTful

Что означает аутентификация RESTful и как она работает? Я не могу найти хороший обзор в Google. Мое единственное понимание заключается в том, что вы передаете ключ сеанса (remeberal) в URL-адресе, но это может быть ужасно неправильно.
26 нояб. '08 в 1:47
6

Безопасность схем аутентификации REST

Фон: Я разрабатываю схему аутентификации для веб-службы REST. Это не "действительно" нужно быть безопасным (это скорее персональный проект), но я хочу сделать его максимально безопасным как упражнение/опыт обучения. Я не хочу использовать SSL, так к...
18 янв. '09 в 0:12
1

Spring @EnableResourceServer vs @EnableOAuth2Sso

В большинстве обучающих программ, которые я читал до сих пор, используется @EnableOAuth2Sso вместо @EnableResourceServer на шлюзе API. Каковы различия? Что противопоставляет OAuth2Sso? Детали: Я реализую архитектуру безопасности/инфраструктуры дл...
21 мар. '17 в 21:51
4

Авторизация запросов REST

Я работаю над сервисом REST, который имеет несколько требований: Он должен быть безопасным. Пользователи не должны создавать запросы. Мое текущее предлагаемое решение состоит в том, чтобы создать собственный заголовок авторизации, который выглядит...
27 окт. '08 в 15:22
2

SSO и REST Api Authentication для нескольких приложений

в нашей компании у нас развернуто несколько веб-приложений, которые защищены через SSO с использованием CAS-сервера. Пользователь запрашивает URL-адрес приложения и, если он еще не прошел проверку подлинности, перенаправляется на страницу входа в сер...
08 авг. '14 в 7:34
2

JWT (токен Json) Vs Пользовательский токен

Я просматривал вопросы, но я не нашел ничего, что могло бы решить мои сомнения. Я нашел обширную информацию о JWT, но не так много, когда сравнивал преимущества, которые JWT мог предложить для создания пользовательского токена для запросов на аутенти...
30 июл. '15 в 17:54
1

Проверка HTTP-запросов из подписанной банки

Я пишу клиент для своего веб-приложения, и я подписал флажок для выпуска с моим сертификатом разработчика, как я могу проверить, что запрос на услугу отдыха был из моего подписанного банку?
21 апр. '15 в 4:25
1

Защита конечной точки REST с помощью spring безопасности

Я пытаюсь обеспечить безопасность конечных точек REST. Я следую инструкциям этой страницы. В моем случае у меня нет представления, поэтому я не создал контроллер для указания представлений и не добавил viewResolver в свой AppConfig.java После реализ...
30 нояб. '15 в 16:07
1

Аутентификация RESTful с требованием проверки номера телефона

Как обрабатывать аутентификацию RESTful при выполнении аутентификации с номером телефона, который должен быть проверен? Например, скажем, пользователь хочет войти. Пользователь ударил бы по конечной точке с номером телефона, который затем поставил б...
15 окт. '14 в 7:13
4

Безопасная служба REST для использования только с помощью специального приложения для Android

Мой сервер предоставляет количество служб REST, я хочу, чтобы обеспечить безопасность веб-сервисов таким образом, чтобы их можно было использовать только приложениями Android, которые принадлежат мне. По сути, как клиент (приложение для Android), т...
28 мар. '15 в 18:43
2

Является ли хорошей идеей использовать зашифрованный идентификатор базы данных вместо UUID в URL-адресе веб-службы?

Добрый день, я реализовал службу REST. В URL-адресе конечной точки ресурса я использую ID, которые являются первичными ключами таблиц базы данных. Например, http://host/myapp/items/item/4. Я узнал, используя идентификатор базы данных в URL-адресе, я...
05 дек. '14 в 11:27
2

Может ли хакер превзойти интернет-HTTP-вызовы от настольных приложений?

Я сделал программное обеспечение для настольных компьютеров на С#, и я собираюсь сделать 30-дневный бесплатный след программного обеспечения, теперь я проверю дату и время с какого-то сервера, чтобы проверить дату... Мой вопрос в том, может ли хакер...
25 июл. '15 в 9:16
2

OAuth 2.0 Жизненный цикл "кода" в Кодексе авторизации Грант

Код авторизации Грант: я знаю, что код - это короткоживущий токен, обменянный на реальный долгоживущий токен доступа. Я прошел через Oauth 2.0, но не смог найти эту информацию, поэтому прошу здесь: Каков жизненный цикл кода? Это только одноразовое...
26 июл. '16 в 7:51
1

Как разрешить доступ к API только для собственных страниц?

Я разрабатываю веб-приложение Spring Boot, которое предоставляет REST API. Большинство моих страниц (шаблоны тимелеафа) используют этот API для взаимодействия с внутренними компонентами (с использованием запросов AJAX). Я читал о различных подходах,...
27 июл. '16 в 16:27