所以我即将完成我的第一个应用程序和 API。它将在接下来的几周内上线并准备上市。尽管我可以听取一些建议,但我对安全性有疑问。
应用程序 ( http://www.application.com ) 是否需要 SSL 证书,它与 API ( http://api.application.com ) 有两种通信方式,API 是否也需要 SSL 证书?
或者我是否只需要对应用程序进行 SSL,因为它会发送敏感数据?
最佳答案
仅保护您的 API 是不够的。如果应用程序通过浏览器 (AJAX/XHR) 与 API 通信,则应用程序在通过不安全的连接加载时容易受到 MITM 的攻击。攻击者可以更改加载的脚本,以便将数据发送到他的服务器(并从中接收数据)。
当您的应用程序与后端的 API 通信,并且 API 不可公开访问时,我还建议使用 SSL 对其进行保护。它更具前瞻性,它保护服务器之间发送的信息,并且当您公开 API 时不会有问题。
所以,我的 TL;DR 答案是:以最强有力的方式保护两者。您的用户数据,任何数据,都是宝贵的,您有责任安全地传输和存储它。每年节省几美元是不值得的。
关于有关应用程序和 API 的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28545961/