Fare un'API sicura e protetta

1

Quindi ho un sito web. Ora sto facendo un'app per questo. Nell'app ho bisogno di firmare l'utente. Quindi sto facendo un'API per questo.

Il problema è, una volta che faccio questa API. Come potrò testare i robot e cosa hai?

esempio. sul mio sito web ho ricontato da google dove clicchi per verificare che tu non sia un robot e poi procedi.

Esiste un metodo simile per le API?

    
posta Trevor Wood 06.10.2016 - 19:31
fonte

2 risposte

2

Potresti inserire il captcha nell'app.

  1. L'app richiede captcha
  2. Il server fornisce captcha
  3. App mostra captcha e restituisce la risposta dell'utente al server
  4. Il server genera token e invia all'app, l'app può inviare quel token con qualsiasi richiesta
risposta data 06.10.2016 - 19:46
fonte
0

Presumo che la tua API sia basata sul REST. Dai un'occhiata al foglio di sicurezza dell'API REST OWASP REST per le migliori pratiche su come proteggere la tua API.

Come menzionato nel link

Anti-replay. Attackers will cut and paste a blob and become someone else. Consider using a time limited encryption key, keyed against the session token or API key, date and time, and incoming IP address. In general, implement some protection of local client storage of the authentication token to mitigate replay attacks.

È preferibile utilizzare un framework REST esistente e testato che fornisce tutte queste funzionalità di sicurezza invece di crearne di nuove.

    
risposta data 06.10.2016 - 21:52
fonte

Leggi altre domande sui tag