这个问题听起来可能微不足道,但即使阅读了很多教程,我仍然不明白应该如何实现 REST 安全性。
我有一个网页和即将准备就绪的移动应用程序。他们都将使用 REST API(用 node.js 编写),问题是 - 如何防止用户修改这些请求?在浏览器中很容易看到网络流量,以及对服务器发出的所有 GET/POST 请求。复制此类请求、修改其参数和/或有效负载并将其发送到服务器似乎也很容易。
我如何确定发出请求的是我的网页或应用,而不是其他人?
最佳答案
Sisyphus 是绝对正确的:您的重点应该放在保护 channel (TLS、SSH 等)和身份验证(例如 OAuth2)上。
您绝对应该熟悉 Open Web Application Security Project (OWASP) .特别是,开始于:
这是一个出色的“实践”教程,它可以让您全面了解您需要担心的所有不同部分:
完成本教程并浏览 OWASP 备忘单后,您将更好地了解需要担心的事情种类、可用于减轻这些风险的选项/技术以及什么可能最适合您的特定场景。
祝你好运!
关于node.js - 如何防止用户修改 REST 请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35105521/