有关应用程序和 API 的安全问题

标签 security ssl server

所以我即将完成我的第一个应用程序和 API。它将在接下来的几周内上线并准备上市。尽管我可以听取一些建议,但我对安全性有疑问。

应用程序 ( http://www.application.com ) 是否需要 SSL 证书,它与 API ( http://api.application.com ) 有两种通信方式,API 是否也需要 SSL 证书?

或者我是否只需要对应用程序进行 SSL,因为它会发送敏感数据?

最佳答案

仅保护您的 API 是不够的。如果应用程序通过浏览器 (AJAX/XHR) 与 API 通信,则应用程序在通过不安全的连接加载时容易受到 MITM 的攻击。攻击者可以更改加载的脚本,以便将数据发送到他的服务器(并从中接收数据)。

当您的应用程序与后端的 API 通信,并且 API 不可公开访问时,我还建议使用 SSL 对其进行保护。它更具前瞻性,它保护服务器之间发送的信息,并且当您公开 API 时不会有问题。

所以,我的 TL;DR 答案是:以最强有力的方式保护两者。您的用户数据,任何数据,都是宝贵的,您有责任安全地传输和存储它。每年节省几美元是不值得的。

关于有关应用程序和 API 的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28545961/

相关文章:

ruby-on-rails-3 - 如何从 Rails 通知访问 current_user?

ssl - gRPC 是否在 TLS 握手期间检查 CRL/OCSP 响应程序?

java - 带有弹性负载均衡器的 AWS EC2 不发送 SSL 证书

python - 如何通过android应用程序在AWS服务器上运行python代码

html - 从请求中接受一组预定义的无害 HTML 标记有多安全?

iOS:我需要将用户的私钥 (RSA) 传输到我的应用程序。文件共享是一个好的解决方案吗?

php header() 无法在 ssl 网站上运行

terminal - 将目录从本地机器移动到服务器的 SCP 命令

Spring 启动服务器错误

c# - 防止SQL注入(inject)的好方法有哪些?