当前位置: 首页 > 面试题库 >

保护Web-API访问

袁枫涟
2023-03-14
问题内容

我有一个可通过HTTP访问的简单Web
API,一些相应的移动应用程序正在读取该数据。现在有人反编译了一个应用程序/嗅探了HTTP流量,将URL转到了我的Web
API,并建立了自己的客户端,就像我的客户端一样。

如何确保仅我自己的客户对API的访问权限?即使想到有人在反编译我的应用程序。

服务器和客户端代码更改是一个选择!


问题答案:

服务器和客户端代码更改是一个选择!

首先,您无法完全阻止它(没有法律诉讼:)。使用SSL / TLS,这将有助于嗅探。

如果直接从您的服务器下载该应用程序(而不是通过应用程序商店/第三方),则可以进一步保护它。当用户下载应用程序时,请确保该用户已通过身份验证,生成密钥,将其包含在应用程序中以及在与该用户进行的所有进一步通信中使用它。黑客/小偷可以模仿,但是他们需要通过服务器来模拟登录和下载应用程序-
您可以找到并阻止它。



 类似资料:
  • Kafka Connect的REST API没有经过安全保护和身份验证。由于没有经过身份验证,连接器或任务的配置很容易被任何人访问。由于这些配置可能包含如何访问源系统[在SourceConnector的情况下]和目标系统[在SinkConnector的情况下],是否有一种标准的方法来限制对这些API的访问?

  • 我正在编写一个具有独立前端和后端的Web应用程序。前端用React编写,后端是运行Express终结点的node.js服务器。如何确保只有我的前端可以访问API,而不是其他任何人?我的API URL在我的前端客户端代码中公开,所以任何人都可以看到。 我在我的应用编程接口中添加了JWT身份验证,但是我仍然需要一个不受保护的 /loginendpoint来生成JWT令牌,并且为了登录来生成令牌,我必须

  • 我正在尝试使用隐式流通过Azure Ad保护我的web api(.net core 2.2)。 我使用 Azure 门户在 Azure AD 中注册了我的应用程序 Name = MyWebApi 应用程序类型=Web应用程序/API 登录URL=http://localhost:55000 创建此应用程序后,我打开其清单文件并将 oauth2AllowImplicitFlow 从 false 更改

  • 所以我希望有人能给我一些关于我问题的见解。一直在搜索,阅读博客/文章,查看文档,但无法真正理解。。。 因此,如果我想将Openshift/OKD部署到VPS,不管是不是一体化部署,我如何保护web控制台? 我希望能够执行“oc集群运行”, public-master等于我的本地ip或公共ip。然后,使用iptables公开阻止对该端口的访问,并使用ssh端口转发(在putty中)来访问web控制台

  • 我了解CSRF攻击和对它们的保护,我已经阅读了关于它的整个owasp页面,但当涉及到保护REST API时,我有点不知所措。 附言。我想检查referrer头在这里没有帮助,因为referrer将不同于我的服务器域,对吗?

  • 通过向资源服务器出示访问令牌,客户端访问受保护资源。资源服务器必须验证访问令牌,并确保它没有过期且其范围涵盖了请求的资源。资源服务器用于验证访问令牌的方法(以及任何错误响应)超出了本规范的范围,但一般包括资源服务器和授权服务器之间的互动或协调。 客户端使用访问令牌与资源服务器进行证认的方法依赖于授权服务器颁发的访问令牌的类型。通常,它涉及到使用具有所采用的访问令牌类型的规范定义的身份验证方案(如R