Protezione di un endpoint HTTPS per richieste Post non browser

3

Ho un set di macchine che ho intenzione di configurare per inviare dati al mio server web su HTTPS a intervalli regolari. Queste unità invieranno automaticamente richieste usando uno script, quindi ho intenzione di dare loro i file di configurazione con un nome utente e una lunga password per l'autenticazione con il mio server.

C'è qualcosa che dovrei fare oltre alle credenziali dell'utente per aumentare la sicurezza? Non sono tanto preoccupato per la sicurezza dei dati quanto per gli utenti non autorizzati che accedono al mio server. Immagino di poter provare a crittografare il nome utente / password, ma non so se questo mi darà ulteriore sicurezza considerando che invierò le richieste usando HTTPS.

    
posta Copernicus 25.04.2017 - 22:54
fonte

1 risposta

4

Puoi prendere in considerazione l'implementazione di un diverso schema di autorizzazione, in particolare OAuth con token bearer come più robusto (e, soprattutto, meccanismo non autoinventato)

Anche (o invece), potresti prendere in considerazione l'impostazione del tuo server per richiedere un certificato client in per verificare che qualsiasi cosa acceda alla tua API limitata sia un vero client (o sia riuscito a rubare almeno il tuo cert del cliente). Questa potrebbe non essere la soluzione migliore se solo alcuni dei tuoi endpoint richiedono questa sicurezza, in quanto influenzerebbe negativamente gli utenti "normali". In questo caso, potrebbe essere possibile impostare una seconda API che richiede un'autenticazione del client composta solo dalle risorse POST a cui accedere dagli script automatici.

    
risposta data 25.04.2017 - 23:24
fonte

Leggi altre domande sui tag