Nota: domanda originale posta a link ma qui sembra essere il posto giusto per questo.
La società per cui lavoro attualmente ha un'applicazione interna, fornisce alcune API RESTful (una specie, solo una raccolta di URL). Per accedere alle API al di fuori della rete aziendale sarebbe necessaria una connessione HTTPS e un token (se si accede all'interno della rete aziendale, non viene applicata alcuna restrizione).
Per chiamare un'API, il chiamante (un'altra applicazione o dipendente interna) dovrà creare un token con qualcosa del tipo:
- Ordina i parametri URL
- Hash parte dell'URL ordinato con un salt (costante globale)
- Utilizza una sottostringa dell'hash come token
- Aggiungi quel token come parametro nell'URL e invia la richiesta
Il server eseguirà lo stesso algoritmo sull'URL originale, se il token esce lo stesso, la richiesta è considerata autenticata.
Non sono un esperto di sicurezza, ma questo mi sembra sbagliato, ma non riesco a spiegare pienamente il perché. Quindi chiedo aiuto agli esperti di sicurezza, quali sono i problemi che vedi qui? O sono troppo paranoico?
Grazie.