Applicare un protocollo protetto su API pubbliche

Naviga le tue risposte
0

Ho implementato l'API HTTP (REST) del mio prodotto come API pubblica. Sebbene il mio server consenta solo HTTPS, non ho alcun controllo sui client. Ho dei fornitori che implementano i client sulla mia API e mi chiedo se ci sia un modo per proteggere i loro clienti finali che utilizzeranno il client del fornitore per comunicare con il mio sistema - in modo che il venditore non sia in grado di utilizzare la fine -contattare i dati?

    
posta Yoav R. 02.08.2018 - 21:56
fonte

1 risposta

1

Hai il controllo su ciò che stai servendo al cliente. Ciò significa che se non ti fidi del tuo fornitore che fornisce il cliente, devi affrontare il fatto che il venditore può vedere i dati che l'API sta trasmettendo per il cliente.
Il venditore può fare qualsiasi cosa con quei dati.
Al fine di mitigarlo, puoi fare quanto segue:

  1. Utilizza un contratto legale che copre questo problema, non puoi controllare il client del fornitore
  2. Cripta il carico utile con una chiave che solo l'utente conosce, ma probabilmente è improbabile che l'utente debba decifrare / crittografare il traffico, esperienza utente negativa.
  3. Assumi il controllo sul cliente o almeno controlla il codice per versione

Come API, puoi solo garantire come vengono forniti i dati e quali dati, non puoi controllare l'elaborazione di tali dati sul lato client.

    
risposta data 02.08.2018 - 23:01
fonte

Leggi altre domande sui tag

Autenticazione interna da server a server utilizzando un token singolo Quali sono alcuni siti Web noti che non richiedono più set di caratteri nelle password?