Domande con tag 'api'

2
risposte

Quanto è sicuro questo scenario di sicurezza saggio

In un progetto su cui sto lavorando, avevo bisogno di scrivere alcuni script di cron job, il cui scopo è di accedere ad alcune API esterne, che hanno informazioni che non dovrebbero essere accessibili al pubblico. Tutte le API esterne richiedono...
posta 19.11.2017 - 12:51
2
risposte

Qual è la differenza tra le chiavi API e i token API?

Da tutta la ricerca che ho fatto, ho trovato che le chiavi API sono meno sicure dei token di accesso (con l'uso di oAuth) e dovrebbero essere utilizzate solo a scopo di monitoraggio. Ma da quello che ho capito, il server genera entrambi. Quin...
posta 14.06.2017 - 09:58
2
risposte

whitelist API REST CORS

Ho un'API REST. Voglio utilizzare questa API da più applicazioni web. Voglio consentire solo le richieste dei client autorizzati. Il mio primo punto sarebbe quello di aggiungere tutte le intestazioni necessarie al server Web API REST (domini con...
posta 13.09.2016 - 23:38
2
risposte

Come proteggere l'endpoint API dall'abuso nell'app mobile?

Supponiamo di avere un'app mobile che recupera il feed delle notizie da un URL sul mio server. GET/ https://example.com/api/v1/newsfeed C'è un modo per limitare l'accesso a questo endpoint solo dall'app mobile, non altre fonti come uno scri...
posta 02.12.2018 - 16:01
2
risposte

Enumerazione sensibile dei dati tramite i codici di errore HTTP

Supponiamo che ci sia un sito Web con un'API che supporta la seguente chiamata REST in cui l'utente autenticato Alice può inviare un utente registrato a Bob un messaggio sul suo cellulare che ha registrato sul nostro sito (ipoteticamente, per il...
posta 11.09.2018 - 12:57
1
risposta

API REST sicura senza registrazione dell'utente

Ho un'API nel nodo JS con principalmente GET endpoint e un'applicazione singola pagina lato client. L'applicazione è pensata per essere aperta senza la necessità di autenticarsi, ad esempio booking.com dove è possibile cercare hotel senz...
posta 05.06.2018 - 14:29
1
risposta

iframe basic auth o token security

Abbiamo due siti, entrambi sono affidabili. Sul sito1 memorizziamo il nome utente e la password per l'utente per site2. Facciamo chiamate api sul backend di site1 a site2 tramite auth di base (su tutto HTTPS). Nonostante l'insicurezza...
posta 27.07.2016 - 20:07
1
risposta

Protezione delle API da Rogue / Fake iOS o app Android?

In che modo proteggi un'API Web non pubblica da un'app dannosa in cui uno sviluppatore ha scoperto come eseguire alcune richieste? Prendi l'app di Instagram come esempio: Instagram non ha una richiesta pubblica API per i media POST. La loro p...
posta 10.12.2015 - 05:17
1
risposta

OAuth è appropriato per l'utilizzo di un'API privata da parte dei clienti registrati?

Sto sviluppando un'API privata che verrà utilizzata dai clienti pre-registrati per accedere alle informazioni sul nostro sito web. Memorizzeremo le credenziali di accesso sul nostro server. Quando ho esaminato come garantire la sicurezza di ques...
posta 15.10.2018 - 21:54
1
risposta

Come proteggere le API dei token di aggiornamento?

Ho due API utilizzate in auth : api/auth/newtoken : convalida con successo l'utente (ovvero, il nome utente e la password controllano nel DB) e restituisce token (expirers in 3 giorni) e refreshToken . api/auth/updatet...
posta 17.11.2017 - 05:44