rest-security相关内容

保护 REST API/Web 服务的最佳实践

在设计 REST API 或服务时,是否有任何既定的最佳实践来处理安全(身份验证、授权、身份管理)? 在构建 SOAP API 时,您将 WS-Security 作为指南,并且存在许多关于该主题的文献.我发现关于保护 REST 端点的信息较少. 虽然我理解 REST 故意没有类似于 WS-* 的规范,但我希望最佳实践或推荐模式已经出现. 任何讨论或相关文件的链接将不胜感激.如果重 ..
发布时间:2021-11-30 17:49:03 其他开发

RESTful 认证

RESTful 身份验证是什么意思,它是如何工作的?我在谷歌上找不到很好的概述.我唯一的理解是您在 URL 中传递了会话密钥(记住),但这可能是非常错误的. 解决方案 如何在 RESTful 客户端-服务器架构中处理身份验证是一个有争议的问题. 通常,它可以通过以下方式在 SOA over HTTP 世界中实现: 基于 HTTPS 的 HTTP 基本身份验证; Cookie ..

REST 身份验证方案的安全性

背景: 我正在为 REST Web 服务设计身份验证方案.这并不“真的"需要安全(它更像是一个个人项目),但我想让它尽可能安全,作为练习/学习体验.我不想使用 SSL,因为我不想要麻烦,而且主要是不想要设置它的费用. 这些 SO 问题对我开始特别有用: RESTful 身份验证 保护 REST API/Web 服务的最佳实践 最佳 SOAP/REST/RPC Web API ..
发布时间:2021-11-27 10:46:38 其他开发

如何仅允许对自己页面的 API 访问?

我正在开发提供 REST API 的 Spring Boot Web 应用程序.我的大部分页面(thymeleaf 模板)都使用此 API 与后端通信(使用 AJAX 请求).我已经阅读了不同的方法,例如基本身份验证、OAuth2 等.这些方法描述了用户身份验证,之后用户可以访问 API.但我不希望用户使用浏览器或 REST 客户端直接与我的 API 通信(即 postman chrome 扩展, ..
发布时间:2021-11-15 03:58:19 其他开发

这是否可以使用 cognito 的授权代码授权类型作为 api-gateway 中的授权方?

我想知道在保护 API 网关方面是否有任何方法或可能性将授权代码授予类型实现为 Authroizer?正如搜索的那样,最推荐使用“授权代码"授权类型来保护 API.我发现下面的文章解释了使用认知“客户端凭据"作为授权类型来保护 api 网关, https://medium.com/@awskarthik82/part-1-securing-aws-api-gateway-using-aws- ..

使用https在Java中休息API

当我使用 GET , POST 等在Java中创建 Restservices 时,然后使用 http协议.一旦我使用https,就会出现错误. 例如: http://localhost:8080/demorest/webapi/aliens 正常工作. 但是当我使用 https 进行查询时 https://localhost:8080/demorest/webapi/aliens ..
发布时间:2021-05-15 19:09:28 Java开发

如何只允许自己的页面访问API?

我正在开发提供REST API的Spring Boot Web应用程序.我的大多数页面(thymeleaf模板)都使用此API与后端通信(使用AJAX请求).我已经阅读了不同的方法,例如基本身份验证,OAuth2等.这些方法描述了用户身份验证,之后用户可以访问API.但是我不希望用户使用浏览器或REST客户端直接与我的API通信(即邮递员chrome扩展名,可以访问浏览器的cookie,通常在其中 ..
发布时间:2020-09-05 21:46:02 其他开发

OAuth 2.0的“代码"生命周期在授权码授予中

授权代码Grant:我知道代码是短暂的令牌,交换为真正的长期访问令牌.我已经查看过 Oauth 2.0 ,但是找不到此信息,因此询问在这里: 代码的生命周期是什么? 仅一次使用吗? 可以交换几次代码以获得访问令牌? 为代码赋予访问令牌后,该代码会发生什么? 我在Kong API网关上使用 oAuth 2.0插件.它将代码保留特定时间,并且可以在同一时间使用相同代码生成多路访问令牌 ..

Spring @EnableResourceServer vs @ EnableOAuth2Sso

到目前为止我读过的大多数教程在API网关上使用 @ EnableOAuth2Sso 而不是 @EnableResourceServer 。有什么区别?相比之下 OAuth2Sso 的作用是什么? 详细信息:我正在实施安全措施/ infra体系结构,用于基于弹簧的微服务和单页应用程序。有一段时间,虽然我们没有安全要求,但SPA直接与不同主机(CORS方)上的开放式微服务进行了对话。 现在 ..
发布时间:2018-12-25 20:10:58 Java开发

最佳实践确保一个REST API / web服务

当设计一个REST API或服务是否有任何既定的最佳做法处理安全(认证,授权,身份管理)? 在构建一个SOAP API你的WS-Security作为指南,并在话题存在很多文学作品。我发现有关保护REST端点的信息较少。 虽然我理解REST故意没有规格类似于WS- *我希望最佳做法或建议的模式已经出现了。 任何讨论或链接到相关的文件将非常AP preciated。 如果它的事项,我们将使用W ..
发布时间:2016-07-26 16:19:07 ASP .NET

REST风格的认证

什么是REST风格的认证意味着,它是如何工作的?我找不到在谷歌很好的概述。我唯一​​的理解是,你通过在URL中的会话密钥(remeberal),但是这可能是可怕的错误。 解决方案 如何在REST风格的客户端 - 服务器架构处理身份验证是一个见仁见智的问题。 通常,可以通过HTTP世界通过实现,在SOA: HTTP基本身份验证通过HTTPS; Cookies和会话管理; 令牌在H ..
发布时间:2016-07-24 17:56:41 ASP .NET

REST认证方案的安全性

背景: 我设计一个REST Web服务的身份验证方案。这并不是“真正的”必须是安全的(它更是一个个人项目的),但我想让它尽可能的安全作为一个练习/学习经验。我不希望使用SSL,因为我不想麻烦和,主要是,设置它的代价。 这些SO问题是让我开始尤其有用: REST风格的认证 我想使用的要得到这个问题: 无论S3和OAuth的依赖以及一些选定的标题签署请求URL。 他们都没有签请求主体作为PO ..
发布时间:2015-12-01 10:10:37 云存储