security相关内容
问:这是API认证技术很容易破解的。? apiKey =“123456789” apiCallId =“1256341451” apiSecret =“67d48e91ab2b7471d4be2a8c2e007d13” SIG = MD5(apiKey + apiCallId + apiSecret)= 09c297a354219f173bfc49c2e203ce03 其中, api
..
我要建一个web API非常相似,计算器提供。 但在我而言安全是重要的,因为数据是私有的。 我必须使用HTTP。 我不能使用SSL。 什么解决方案(S)你建议我? 修改:认证加密= 解决方案 首先,我建议你阅读这篇优秀的文章:的http://piwik.org/blog/2008/01/how-to-design-an-api-best-practises-concept
..
在试图得到它的工作我想这是因为跨域的政策,但我真的认为这会工作一小时后。我也不能找到很多关于它的信息的。但是,这里是我的问题。我有一个名为 http://mysite.com 网站,然后我有一个第三方的脚本(什么即时通讯写作)及其在 http://supercoolsite.com/api/script.js 这个脚本需要动态地加载 http://maps.google.com/maps/api:
..
我的工作与包括建设基于该请求的方法,URL,参数,可以公开的API密钥和连接由私人API密钥codeD字符串的自定义授权方法的API为中心的Web应用程序。这工作得很好,在服务器端,而客户端上的私有API密钥(和授权法)将是脆弱的。我花了最后一个小时左右,看好确保这一API密钥和我能找到的最好的方法的好办法是通过我的服务器代理,但我仍然不能100%肯定这一点。 首先,我应该担心吗?我要让安全在我
..
我创建与创建/更新/删除调用Web服务。但现在我想限制我自己的web应用程序,并没有其他客户使用它。怎样才可以有明文的javascript code,使这些电话,但还是有信心的凭证将不被用于其它地方? 我的想法是使用服务器端产生的随机数为每个请求。但我愿意接受你们可能有不同的想法。谢谢你。 解决方案 做你的web应用程序的用户有一个登录ID /密码?如果是,则要求他们登录,并使用标准的会
..
我有一个简单的网络API通过HTTP与一些相应的移动应用程序读取数据的访问。现在,有人反编译的应用程序/嗅了嗅HTTP流量,得到了URL到我的网络API,并建立了自己的客户端表现得像我的。 我怎么能保证只对我自己的客户访问我的API?即使有人想到反编译我的应用程序。 服务器和放大器;客户端code变化是一个选择! 解决方案 服务器和放大器;客户端code变化是 选项!
..
我露出一个简单的API,并需要确保只有授权的用户访问它。我将提供API密钥验证。不过,我也想API密钥某个域关联(意思是,如果它正在从授权域使用它应该只工作)。 我如何在API一边检查是否正在从授权的域名访问? HTTP_REFERER显然是不可靠的。建议? 解决方案 您揭露什么样的API?有许多不同类型的API - 我想你不要暴露你的操作系统的API ... 假设你想揭露一些 Web
..
我正在寻找在PHP一个简单的OAuth2客户端。我试过( https://github.com/adoy/PHP-OAuth2 ),其复杂的,其实大部分的我检查的客户是复杂的。 解决方案 我建议你给看看这个库 PHPoAuthLib (如果你还没有把) 它支持OAuth的1和2可以使用作曲 /的 Packagist 。 有许多不同的实现示例如Twitter,Facebook和Linke
..
我有哪些第三方“插件”,可以通过用户加载到提升用户体验的Java应用程序。一个API存在由这些插件的使用,但在第三方软件应从访问内部的应用程序类的安全目的的限制。受限包插件将是“com。示例”和允许的将是“com.example.api”。该API类做作出内部,混淆类的电话。 研究这个之后,我碰到的SecurityManager的一对夫妇的方法:
..
我在我的高中建设GRAILS的房间调度决策支持工具。我使用Spring Security的,我想,以确保REST API。我发现用正确的方法做的信息非常少。不过,我一直在寻找的 Spring Security的REST插件 该文档是不是我很清楚,使用这个插件没有任何人有一个工作的例子/教程? 这是如何实现这一建议将是巨大的。 解决方案 我只是读出时序图响亮的为您服务。我在一个示例应用程
..
我们正在开发一个REST API由一对夫妇的移动应用程序使用。重要的是,我们能够相信这些移动应用程序的身份。在我们目前的设计中,每个API调用进行身份验证的“API密钥”参数和HTTPS安全。 我担心的是,API密钥嵌入在移动应用程序的每一个副本,这意味着有没有办法,我们可以保守秘密之内。这将是上千种手机,理论上用二进制编辑器或HTTP流量分析器任何黑客可以提取API密钥,然后'冒充'的一个应用
..
有一个Rails插件,或者给你增加一个API,你的Rails应用的出发点rubygem?我们要使用的API密钥/私有密钥模式,API也应进行版本控制。有什么在那里,都会给我们一些,如果不是这一切? 解决方案 看看这个插件AuthLogic: http://github.com/phurni/authlogic_api 我觉得,做你正在寻找的东西。
..
我知道有很多张贴类似的问题,但他们都不是指一个HTML / JavaScript的应用程序,用户可以访问code。 我在写一个的NodeJS私人REST API。它是私有的,因为它的唯一目的是服务器的HTML5应用程序的客户端(Chrome应用和Adobe AIR应用程序)。因此,一个API密钥是不是因为任何用户都可以看到的JavaScript code一个很好的解决方案。 我想避免机器人创建
..
我正在构建一个RESTful API为我维护的应用之一。目前,我们正在寻求建立各种东西放到它需要更多的控制访问和安全性。虽然研究如何去保护的API,我发现使用何种形式的一些不同的意见。我见过一些资源说HTTP的验证是要走的路,而其他preFER API密钥,甚至别人(包括我发现这里的SO问题)通过OAuth的发誓。 然后,当然,对那些preFER,比方说,API密钥,说OAuth是设计用于获得代
..
在设计REST API是它通常是先验证用户? 我要寻找的典型使用情况是: 用户希望得到的数据。当然很酷,我们喜欢分享!找一个公共的API密钥,并宣读了! 用户想要存储/更新数据...哇等待了!你是谁,你可以做到这一点? 我想一旦建立它,让说web应用程序,Android应用程序或一个iPhone应用程序来使用它。 一个REST API似乎与这样的要求是合理的选择。 要说明我的问
..
我必须同时具有前端,网络访问的组成部分,是由一个桌面客户端访问的API Django的web应用程序。但是,现在随着新CSRF中间件组件,从桌面客户端API请求是POST'ed得到403 我明白为什么会这样,但什么是解决这一问题不会影响安全性的正确方法?有什么方法,我可以在HTTP标头,它的API请求和Django的不应该检查CSRF或者是一个糟糕的战略?信号 的 修改 - 的 我目前使用的
..
我开发了一个API来获取所有数据。 该网站没有一个用户注册系统或任何识别使得对API的调用用户。如果我能识别用户进行调用,每当有人滥用或攻击API我甚至可以禁止他的IP。 我想生成基于用户IP或MAC地址的API密钥,但它是安全的这样做?任何其他建议? 解决方案 首先,你不会得到最终用户的MAC地址。即使你读传入数据包的MAC地址,你只能得到你的路由器的MAC地址(你肯定不希望禁止!)
..
道歉,如果这已经提出和回答;我看了看周围一群,但还没有发现我在问什么。 - 假如我的web应用程序在 http://example.com/ 在的
..
我要求写一个应用程序的Web API(PC可执行文件,没有网络的应用),将允许发送电子邮件。结果 用户点击的东西,应用程序与生成的电子邮件,发送出去的API进行通信。 我要确保没有人非法将有机会获得的API,所以我需要做一些种类的认证,我没有得到一个想法如何正确地做到这一点。 将会有更多的应用程序访问的API。 首先想到的是 - 发送用户名和密码,但是这并不能真正解决问题。因为如果有人反编
..
我能看到这个词在几乎每一个跨业务应用,这些天。 到底是什么一个API密钥,什么是它的用途 还请解释公共和私有API密钥之间的区别。 解决方案 什么“正是”API密钥用于取决于谁发出它,什么样的服务它被用于非常多。总的来说,然而,API密钥是给予某种形式的秘密令牌这是一起网络服务(或类似)的请求,以确定该请求的来源提交的名称。钥匙可以包括在所述请求的内容的一些消化进一步验证的起源
..