Domande con tag 'api'

domande con tag
1
risposta

Come impedire l'utilizzo non voluto dell'API REST?

Per un progetto universitario, dovrei implementare un'API che consenta l'archiviazione e il ritracciamento delle stringhe. I client che accedono a questa API possono essere app per dispositivi mobili e dispositivi embedded a bassa potenza. I dat...
posta 26.12.2015 - 13:36
0
risposte

Come archiviare correttamente OAuth 2.0 client_id e client_secret in un'applicazione web?

Nel PoC (Proof of Concept) che sto attualmente sviluppando, i dati di un'API vengono consumati e OAuth 2.0 è richiesto per l'autenticazione. L'applicazione funziona già come previsto, gli utenti possono accedere ai dati dall'API utilizzando OAut...
posta 18.12.2018 - 22:55
0
risposte

implementa push api per i file usando oauth2

Voglio implementare un'API push simile a API Garmin Connect . questa API consente ai client di ottenere i dati degli utenti di garmin, poiché garmin invia ai client i file dell'utente ogni volta che viene creato. abbiamo tre attori (il clien...
posta 13.12.2018 - 16:58
1
risposta

Il carattere jolly Access-Control-Allow-Origin non consente l'invio di cookie di sessione

Ho sempre pensato che le restrizioni CORS dovessero disabilitare il seguente scenario: Inserisco attacker.com, JS invia GET facebook.com, il mio browser aggiunge i miei cookie, attacker.com ha accesso al mio profilo / feed di Facebook. MA...
posta 29.11.2018 - 15:26
0
risposte

Come proteggere una chiave API dal lato client?

Ho un problema e sono abbastanza sicuro di non essere il primo a riguardo. Spero di avere alcuni ottimi modi, si spera a prova di proiettile, per evitare problemi, quindi eccolo qui. Fornisco un'API che converte HTML in PDF tramite una richie...
posta 07.09.2018 - 12:02
0
risposte

I segreti API utilizzati per l'autenticazione semplice devono essere sottoposti a hashing nel database?

C'era una domanda simile che ho trovato che è stata posta nella migliore metà di un decennio fa " Va bene se il segreto dell'API è archiviato in testo normale o decifrato? ", ma la maggior parte delle risposte sembrano girare attorno agli schemi...
posta 21.10.2018 - 23:16
3
risposte

È meglio valutare le richieste API basate su UserId o indirizzo IP per gli utenti autenticati?

Sto pensando di limitare la frequenza delle richieste anonime basate su IP, ma per gli utenti con un token di autenticazione valido, non riesco a decidere se è meglio registrare e valutare le richieste limite in base al loro UserId o indirizzo I...
posta 13.11.2018 - 19:29
1
risposta

Firma webhooks con JWT - overkill con TLS?

Ho un server che invia notifiche webhook ai server client. Prima che il server client inizi a elaborare qualcosa, dovrebbe essere certo che il webhook sia originato dal mio server e che non sia stato alterato o falsificato. Posso utilizzare u...
posta 15.09.2018 - 23:27
0
risposte

Come trovare gli account nei database trapelati in base al nome del dominio nell'indirizzo e-mail?

Mi piace trovare account in database trapelati in base al nome di dominio associato agli indirizzi di posta trapelati. Database pubblici come link hanno questa capacità in parte. La ricerca è possibile solo quando l'indirizzo email completo è...
posta 20.09.2018 - 18:37
0
risposte

Isolamento dell'API per più applicazioni a pagina singola con lo stesso dominio

Ho un caso in cui voglio eseguire più applicazioni a singola pagina sullo stesso dominio. Queste app dovrebbero avere accesso a un set specifico di API. Esempio: myapp.example/profile : ospita l'app profilo myapp.example/api/pro...
posta 05.09.2018 - 16:01