有关应用程序和 API 的安全问题

标签 security ssl server

所以我即将完成我的第一个应用程序和 API。它将在接下来的几周内上线并准备上市。尽管我可以听取一些建议,但我对安全性有疑问。

应用程序 ( http://www.application.com ) 是否需要 SSL 证书,它与 API ( http://api.application.com ) 有两种通信方式,API 是否也需要 SSL 证书?

或者我是否只需要对应用程序进行 SSL,因为它会发送敏感数据?

最佳答案

仅保护您的 API 是不够的。如果应用程序通过浏览器 (AJAX/XHR) 与 API 通信,则应用程序在通过不安全的连接加载时容易受到 MITM 的攻击。攻击者可以更改加载的脚本,以便将数据发送到他的服务器(并从中接收数据)。

当您的应用程序与后端的 API 通信,并且 API 不可公开访问时,我还建议使用 SSL 对其进行保护。它更具前瞻性,它保护服务器之间发送的信息,并且当您公开 API 时不会有问题。

所以,我的 TL;DR 答案是:以最强有力的方式保护两者。您的用户数据,任何数据,都是宝贵的,您有责任安全地传输和存储它。每年节省几美元是不值得的。

关于有关应用程序和 API 的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28545961/

相关文章:

python - 在数据库中存储用户和密码

java - 无法访问位于 : https://example. com?wsdl 的 WSDL。它失败并显示 : sun. security.validator.ValidatorException

python - Nginx : Sub-domain config file

linux - 如何在 Docker 中包含容器?

php - .htaccess 在 SSL/端口 443 下被忽略

javascript - app.get() 和 app.route().get() 的区别

security - windows启动前如何运行Application.exe?

algorithm - 这个密文和明文之间有什么关系?

php - PHP使用/dev/urandom获取CS随机数的方法

c - 带有 axTLS 的 libCurl 中的错误 "Invalid X509 ASN.1 file"