Impedire l'accesso al mio REST pubblico api dalla mia applicazione client fidata

1

Possiedo un set di API REST e alcune di esse non richiedono l'autenticazione degli utenti.
L'esempio potrebbe essere: api/items/index di un e-commerce ".

Attualmente utilizzo i token basati su cookie dalla mia applicazione, ma solo per l'API sicura come l'edizione di un elemento: api/items/2/edit per esempio.

Cosa potrebbe impedire a chiunque di rintracciare dalla propria applicazione l'URL diretto corrispondente (diciamo https://myAppDomain/api/items/index e ottenuto tutti gli elementi come un puro elenco di JSON?
In effetti, potrebbe portare al phishing ...

    
posta Mik378 12.03.2014 - 11:00
fonte

0 risposte

Leggi altre domande sui tag