security相关内容

API认证的设计和可编程性

问：这是API认证技术很容易破解的。？ apiKey =“123456789” apiCallId =“1256341451” apiSecret =“67d48e91ab2b7471d4be2a8c2e007d13” SIG = MD5（apiKey + apiCallId + apiSecret）= 09c297a354219f173bfc49c2e203ce03 其中， api ..

发布时间：2016-05-22 20:48:35 api security authentication cryptography 其他开发

如何接受上的Web API认证没有SSL？

我要建一个web API非常相似，计算器提供。 但在我而言安全是重要的，因为数据是私有的。 我必须使用HTTP。 我不能使用SSL。 什么解决方案（S）你建议我？ 修改：认证加密= 解决方案 首先，我建议你阅读这篇优秀的文章：的http://piwik.org/blog/2008/01/how-to-design-an-api-best-practises-concept ..

发布时间：2016-05-22 20:47:18 security api authentication 其他开发

动态加载JavaScript的使用JavaScript

在试图得到它的工作我想这是因为跨域的政策，但我真的认为这会工作一小时后。我也不能找到很多关于它的信息的。但是，这里是我的问题。我有一个名为 http://mysite.com 网站，然后我有一个第三方的脚本（什么即时通讯写作）及其在 http://supercoolsite.com/api/script.js 这个脚本需要动态地加载 http://maps.google.com/maps/api： ..

发布时间：2016-05-22 20:34:58 javascript security api google-maps-api-3 xss 前端开发

在客户端（JavaScript中，Android版，iOS版等）保护API密钥

我的工作与包括建设基于该请求的方法，URL，参数，可以公开的API密钥和连接由私人API密钥codeD字符串的自定义授权方法的API为中心的Web应用程序。这工作得很好，在服务器端，而客户端上的私有API密钥（和授权法）将是脆弱的。我花了最后一个小时左右，看好确保这一API密钥和我能找到的最好的方法的好办法是通过我的服务器代理，但我仍然不能100％肯定这一点。 首先，我应该担心吗？我要让安全在我 ..

发布时间：2016-05-22 20:34:23 javascript api security 前端开发

如何创建和公共使用Web服务，但仍限制其使用只有我的应用程序？

我创建与创建/更新/删除调用Web服务。但现在我想限制我自己的web应用程序，并没有其他客户使用它。怎样才可以有明文的javascript code，使这些电话，但还是有信心的凭证将不被用于其它地方？ 我的想法是使用服务器端产生的随机数为每个请求。但我愿意接受你们可能有不同的想法。谢谢你。 解决方案 做你的web应用程序的用户有一个登录ID /密码？如果是，则要求他们登录，并使用标准的会 ..

发布时间：2016-05-22 20:30:25 security api web-services 其他开发

保护Web的API访问

我有一个简单的网络API通过HTTP与一些相应的移动应用程序读取数据的访问。现在，有人反编译的应用程序/嗅了嗅HTTP流量，得到了URL到我的网络API，并建立了自己的客户端表现得像我的。 我怎么能保证只对我自己的客户访问我的API？即使有人想到反编译我的应用程序。 服务器和放大器;客户端code变化是一个选择！ 解决方案 服务器和放大器;客户端code变化是 选项​​！ ..

发布时间：2016-05-22 20:29:05 java php security api Java开发

API安全：如何限制通过域访问？

我露出一个简单的API，并需要确保只有授权的用户访问它。我将提供API密钥验证。不过，我也想API密钥某个域关联（意思是，如果它正在从授权域使用它应该只工作）。 我如何在API一边检查是否正在从授权的域名访问？ HTTP_REFERER显然是不可靠的。建议？ 解决方案 您揭露什么样的API？有许多不同类型的API - 我想你不要暴露你的操作系统的API ... 假设你想揭露一些 Web ..

发布时间：2016-05-22 20:28:51 php security api PHP

有一个简单的OAuth2客户端的PHP？

我正在寻找在PHP一个简单的OAuth2客户端。我试过（ https://github.com/adoy/PHP-OAuth2 ），其复杂的，其实大部分的我检查的客户是复杂的。 解决方案 我建议你给看看这个库 PHPoAuthLib （如果你还没有把） 它支持OAuth的1和2可以使用作曲 /的 Packagist 。 有许多不同的实现示例如Twitter，Facebook和Linke ..

发布时间：2016-05-22 20:08:41 php api oauth oauth-2.0 security PHP

安全性：通过限制第三方软件内部访问

我有哪些第三方“插件”，可以通过用户加载到提升用户体验的Java应用程序。一个API存在由这些插件的使用，但在第三方软件应从访问内部的应用程序类的安全目的的限制。受限包插件将是“com。示例”和允许的将是“com.example.api”。该API类做作出内部，混淆类的电话。 研究这个之后，我碰到的SecurityManager的一对夫妇的方法： ..

发布时间：2016-05-22 20:08:13 java security api securitymanager Java开发

保护REST API使用安全REST插件

我在我的高中建设GRAILS的房间调度决策支持工具。我使用Spring Security的，我想，以确保REST API。我发现用正确的方法做的信息非常少。不过，我一直在寻找的 Spring Security的REST插件 该文档是不是我很清楚，使用这个插件没有任何人有一个工作的例子/教程？ 这是如何实现这一建议将是巨大的。 解决方案 我只是读出时序图响亮的为您服务。我在一个示例应用程 ..

发布时间：2016-05-22 20:07:56 api security rest grails plugins 其他开发

preventing移动API客户身份盗窃

我们正在开发一个REST API由一对夫妇的移动应用程序使用。重要的是，我们能够相信这些移动应用程序的身份。在我们目前的设计中，每个API调用进行身份验证的“API密钥”参数和HTTPS安全。 我担心的是，API密钥嵌入在移动应用程序的每一个副本，这意味着有没有办法，我们可以保守秘密之内。这将是上千种手机，理论上用二进制编辑器或HTTP流量分析器任何黑客可以提取API密钥，然后'冒充'的一个应用 ..

发布时间：2016-05-22 20:07:22 security api architecture mobile client 其他开发

对于导轨API密钥+秘密密钥签名的插件

有一个Rails插件，或者给你增加一个API，你的Rails应用的出发点rubygem？我们要使用的API密钥/私有密钥模式，API也应进行版本控制。有什么在那里，都会给我们一些，如果不是这一切？ 解决方案 看看这个插件AuthLogic： http://github.com/phurni/authlogic_api 我觉得，做你正在寻找的东西。 ..

发布时间：2016-05-22 19:55:10 ruby-on-rails ruby api security api-key 其他开发

如何保护私人REST API在AJAX应用程序

我知道有很多张贴类似的问题，但他们都不是指一个HTML / JavaScript的应用程序，用户可以访问code。 我在写一个的NodeJS私人REST API。它是私有的，因为它的唯一目的是服务器的HTML5应用程序的客户端（Chrome应用和Adobe AIR应用程序）。因此，一个API密钥是不是因为任何用户都可以看到的JavaScript code一个很好的解决方案。 我想避免机器人创建 ..

发布时间：2016-05-22 19:52:45 javascript security api rest node.js 前端开发

在一个RESTful API，API密钥VS HTTP认证VS的OAuth

我正在构建一个RESTful API为我维护的应用之一。目前，我们正在寻求建立各种东西放到它需要更多的控制访问和安全性。虽然研究如何去保护的API，我发现使用何种形式的一些不同的意见。我见过一些资源说HTTP的验证是要走的路，而其他preFER API密钥，甚至别人（包括我发现这里的SO问题）通过OAuth的发誓。 然后，当然，对那些preFER，比方说，API密钥，说OAuth是设计用于获得代 ..

发布时间：2016-05-22 19:51:16 security api restful-authentication 其他开发

保护REST API不重新发明轮子

在设计REST API是它通常是先验证用户？ 我要寻找的典型使用情况是： 用户希望得到的数据。当然很酷，我们喜欢分享！找一个公共的API密钥，并宣读了！ 用户想要存储/更新数据...哇等待了！你是谁，你可以做到这一点？ 我想一旦建立它，让说web应用程序，Android应用程序或一个iPhone应用程序来使用它。 一个REST API似乎与这样的要求是合理的选择。 要说明我的问 ..

发布时间：2016-05-22 19:51:12 web-services security api rest 其他开发

有一个POST'able API和Django的CSRF中间件

我必须同时具有前端，网络访问的组成部分，是由一个桌面客户端访问的API Django的web应用程序。但是，现在随着新CSRF中间件组件，从桌面客户端API请求是POST'ed得到403 我明白为什么会这样，但什么是解决这一问题不会影响安全性的正确方法？有什么方法，我可以在HTTP标头，它的API请求和Django的不应该检查CSRF或者是一个糟糕的战略？信号 的 修改 - 的 我目前使用的 ..

发布时间：2016-05-22 19:37:53 django security api csrf 其他开发

API根据用户的IP地址

我开发了一个API来获取所有数据。 该网站没有一个用户注册系统或任何识别使得对API的调用用户。如果我能识别用户进行调用，每当有人滥用或攻击API我甚至可以禁止他的IP。 我想生成基于用户IP或MAC地址的API密钥，但它是安全的这样做？任何其他建议？ 解决方案 首先，你不会得到最终用户的MAC地址。即使你读传入数据包的MAC地址，你只能得到你的路由器的MAC地址（你肯定不希望禁止！） ..

发布时间：2016-05-22 19:27:32 php api security PHP

你怎么能使用您的匿名Web API prevent任意客户端应用程序？

道歉，如果这已经提出和回答;我看了看周围一群，但还没有发现我在问什么。 - 假如我的web应用程序在 http://example.com/ 在的 ..

发布时间：2016-05-22 19:22:44 security api web-applications 其他开发

网页API安全

我要求写一个应用程序的Web API（PC可执行文件，没有网络的应用），将允许发送电子邮件。结果 用户点击的东西，应用程序与生成的电子邮件，发送出去的API进行通信。 我要确保没有人非法将有机会获得的API，所以我需要做一些种类的认证，我没有得到一个想法如何正确地做到这一点。 将会有更多的应用程序访问的API。 首先想到的是 - 发送用户名和密码，但是这并不能真正解决问题。因为如果有人反编 ..

发布时间：2016-05-22 19:22:26 php security api authentication PHP

什么是API密钥？

我能看到这个词在几乎每一个跨业务应用，这些天。 到底是什么一个API密钥，什么是它的用途 还请解释公共和私有API密钥之间的区别。 解决方案 什么“正是”API密钥用于取决于谁发出它，什么样的服务它被用于非常多。总的来说，然而，API密钥是给予某种形式的秘密令牌这是一起网络服务（或类似）的请求，以确定该请求的来源提交的名称。钥匙可以包括在所述请求的内容的一些消化进一步验证的起源 ..

发布时间：2016-05-22 19:21:23 api security terminology api-key 其他开发