Ho appena incontrato API che trovo piuttosto vulnerabili. Potresti chiarire se le mie preoccupazioni sono sbagliate?
1) Per il recupero dei dati utente, API KEY, che è unico per ogni utente che ho usato. Questa chiave API è memorizzata nell'URL di riposo. Ad esempio, per richiedere qualcosa, la richiesta è build /something?api_key=dsfdsf34r3wrwfdew3r3rfw3
. La chiave Api è costante per la vita dell'utente. Può essere recuperato dopo il login. È sicuro ottenere dati utente usando questa chiave? Mi sembra che se conosco l'api_key di un'altra persona, posso ottenere tutto ciò che voglio su di lui. E se faccio un'app, che funziona con questa Api, posso semplicemente archiviare queste chiavi e usarle ogni volta che voglio per qualsiasi scopo io desideri. Queste preoccupazioni sono legittime? Ci sono altri modi per sfruttarlo?
2) Login è solo un semplice modulo di testo con i campi email
e password
. Ho loggato con successo usando il postino e il modulo semplice. Questa forma di accesso è considerata sicura? Come può essere migliorato?