我们打算开发基于rest的api。我探讨了这个话题,但看起来,当你的客户端是一个应用时,你可以保护api(所以有很多方法,公钥 - 私钥等)。对于网站/移动网站来说,如果我们在网站中访问基于rest的api,而不使用任何登录访问内容(登录将是可选的),那么我们如何限制其他人访问基于rest的api?如何保护基于Rest的API?
使用Oauth2.0有意义吗?我不清楚这一点。
更清晰的问题可能是,我们怎样才能保证GET或POST请求暴露在网络的不使用任何登录的网站的?
如果是简单的GET请求或POST请求,这将返回特定的输入JSON数据,现在我有移动网站,谁将会使用GET请求或POST请求来获取数据访问这些数据。那么,其他人也可以访问它,问题是我没有使用登录,用户可以直接访问数据。但是我们如何限制其他人访问这些数据。
你认为什么是确保未使用REST VS一个正在使用REST API网站之间的区别?
的OAuth提供授权功能,为您的网站,在REST架构,这意味着移动应用程序的用户将被允许访问该资源之前提供他们的凭据。然后应用程序可以决定该用户是否有权访问请求的资源。但是你说你的网站不需要使用授权。
您可以使用证书,但管理每个客户端证书的好运。我认为这是因为你的解释并不需要保护你的网站,因为你将永远无法管理客户端和服务器之间的信任关系。有一些选择,但:
有可能是别人,但你得到的基本思路。同样在我看来,如果您的资源不需要授权,那么您无需保护该REST API。我可以通过您提供的REST API或功能来询问您公开的数据类型吗?这可能有助于提供更好的答案。
您需要授权:只允许某些代理(移动客户端)和/或用户访问这些API。
为了解决这个问题,你需要鉴定:一种方法使服务器分不清谁是谁(或什么),所以可以做出正确的决定。
提供某种形式的识别有很多不同的方式,取决于您对安全性的关心程度。
最简单的是用户代理字符串,特定于您的移动客户端。但它可以很容易伪造。基于客户端的'秘密'稍微难以伪造 - 在您的移动客户端代码中嵌入某种秘密或密钥。你可以使它变得非常复杂和秘密,但正如ramsinb指出的那样,你不能以这种方式获得安全性,因为它要求你能够保证你与客户端交付的秘密(它是代码,算法或者任何其他花哨的构造)都不能被破坏或逆向工程。当你不控制客户端时不会发生。
从那里,3种选择:
“安全”是什么意思?即你试图防范什么威胁? – ptyx
好吧,这很简单,获取请求或发布请求,这将返回给您特定输入的json数据,现在我有移动网站,谁将访问这些获取请求或发布请求以获取数据。那么,其他人也可以访问它,问题是我没有使用登录,用户可以直接访问数据。但是,如何限制其他人访问它,感谢您的回复 – Pradeep
要通过网站访问,请参阅[REST身份验证和公开API密钥](http://stackoverflow.com/questions/5472668/rest-authentication-and-曝光 - 的-API键)。 – Arjan