rest - 如何防止 SQL 注入(inject)并提高 REST API 的安全性？

Question

我是 REST API 的新手，正在开发一个将用于 iOS/Android/Web 应用程序的 API，但我不熟悉这些 API 在发布后面临的威胁。
我到处都看到这些相同的提示:

使用 oAuth 2 允许交易，

仅接收和发送加密的 JSON Web token ，

使用 SSL/TTL。

我认为使用 SSL/TLS 和 JWT 应该足以保证发送/接收数据的安全性，但即便如此，如果有人窃取凭据，我还是担心 SQL 注入(inject)的可能性。
我应该检查对 SQL 注入(inject)字符串 (such as this one) 的请求吗？
如果我要支持用户登录，使用 oAuth 而不是 JWT 是否更有意义？

Answer 1

sql-i

使用准备好的语句会给你带来很多好处(further reading)

考虑使用 ORM 层与您的数据库接口(interface)(例如:gorm)

安全原则

始终在对其执行任何操作之前验证用户输入

对于每个操作，如果您知道通用选项集，请选择允许列表方法与拒绝列表方法(即，如果字符串属于我的已知列表，我将只允许它通过)

授权

jwt 只是一种 token 格式(类似于您的身份证)，您可以将 oauth 用于底层 authz(在允许您访问某些资源之前检查您的身份证)——阅读更多 here

不记名 token (如 jwt)应始终通过 TLS/SSL 发送，以防止入侵者访问明文 jwt (rfc7523)

随着产品的成熟，您可能希望转移到开始分配存储在手机上的 session token 的模型，但这通常伴随着处理撤销的复杂性(例如:何时/如何轮换 session token ？)