我知道这个问题可能已经被问过,但我找不到答案......
我正在开发一个网站,我知道将来它将是它的应用程序版本。所以我决定做一个 Api,它将由我的网站和我的应用程序调用。
第一个问题:这样做是个好主意吗?
我现在问自己如何确保我的 api 休息和我的网站之间的连接,我不希望除了我的网站之外的任何人调用我的 api 上的方法。我正在考虑 OAuth1,但从我读到的内容来看,Oauth1 更多的是用于将两个陌生人的网站连接在一起,而就我而言,它们都是我的。
第二个问题:如何保护我的 API REST 和我的网站之间的连接?
在另一个项目中(与第一个项目无关),我需要在 API REST 和 bash 脚本之间做同样的事情。同样的,他们都是我的。
第三个问题:如何确保 API REST 和 bash 脚本之间的连接安全?
感谢您的回答。
最佳答案
您可以针对不同的事物设置不同级别的安全性。如果您对仅作为 REST API 服务器客户端的 Web 服务器拥有完全控制权,则在共享相同基础设施的情况下,您可以执行的最安全的操作是禁止 API 服务器上的任何外部请求,并且仅允许来自 Web 的请求服务器。
这可以通过 API 服务器前面的反向代理来完成,该代理知道 Web 服务器的 IP 地址,并且仅允许来自该处的请求(如果两者位于同一区域)例如,在同一防火墙后面的 LAN 上,以物理方式禁止攻击者使用 Web 服务器 IP。如果两台服务器都必须通过野外互联网连接,您应该在它们之间设置 VPN 以达到相同的安全级别。
但是,一旦您有一个可以连接到 API 服务器的应用程序,这将不再可用,因为现在请求可以来自任何地方。因此,我强烈建议不要让 API 服务器安全依赖于应用程序:无论您尝试什么,攻击者都可以反汇编应用程序的代码,在调试器上运行它并监视网络以了解它如何与 API 服务器进行交换。现在,常见的用法是对用户进行身份验证(密码用于简单的低级别安全性,由您信任的公司(最终是您的公司)提供的证书用于高级安全性) 。现在,您必须保护 API 服务器的安全,以仅允许某些用户使用某些方法 - 最终在某些域对象上。 Spring Security 是实现此目的的首选工具。当然,敏感信息(包括所有身份验证相关信息)只能使用 HTTPS。
这里的规则是安全不应依赖于可以伪造或容易被盗的东西,其中您发现:
- 公共(public)(外部)IP 地址
- 应用和服务器之间的协议(protocol)
- 不同用户或机器之间共享的密码
- 通过未加密的 HTTP 明文传输信息。
Information security当您有更精确的问题时,是向安全专家询问的网站。
对于第三个问题,请求是通过浏览器、应用程序还是 bash 脚本发出并不重要。重要的是如何识别请求背后的用户。
关于java - 我的 API REST 和我的网站/脚本之间的安全连接,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38692581/