问题可能听起来与Resful Designs下的很多信息类似。Restful应用程序使用php laravel向服务器发出SAFE CRUD请求
我读过的文章数量经历了一堆教程,试图了解Resful应用程序是如何工作的。我看到一堆啧啧。看着OAuth,但它不是我所需要的。
由于安全是我最关心的问题,所以我遇到了应该如何处理随机数/哈希的问题!
我的意思是随机数/哈希是什么;
我有一个使用laravel 4.1的Restful应用程序。框架,用户可以使用Auth :: User()实现登录。一切都很好。我向应用程序提出的所有请求都是CRUD。
为什么我要使用nonces/hash;
让我有@DELETE路线(“训练/(编号)”)下API前缀在我的资源 用户可以使用example.com/api/workouts/1它不具有删除锻炼还有类似{随机数}附加到链接,如example.com/api/workouts/1/nonce/12321321313因为其他用户可能会伪造用户重定向并让其删除自己的锻炼?
大多数文章指出; 据我所知,出于安全方面的考虑,我应该发送一个随机数每个 ajax请求到服务器,然后服务器必须验证并回应客户端的信息以及下一个请求的新随机数?这是一个性能杀手,但它的方式?
HTTPS请求?没有代币/哈希或随机? 所以有人说,在安全登录后(有效凭证),在HTTPS协议下,不需要为每个请求(例如CRUD)发送一个随机数(到服务器)。使用凭证进行身份验证足以验证用户的商品。
翻阅Laravel的所有角度教程 关于使用令牌随机或什么都没有提及,至少不是我见过的。
我的主要问题是我应该如何设计服务器端路由,以使用令牌,随机数或哈希等laravel向服务器发出更安全的请求?
我知道那里有很多话题,但他们对我来说似乎很有理论意义。我不知道哪些是准确的保护和哪些没有。所以,感谢您的阅读它的耐心,并希望能得到一些准确的反应..
和原谅我的英语:) ..
你正在创建一个API? – ollieread
其技术上不是API。它只是一个在服务器和客户端之间进行交互的restfull应用程序。没有权限要求到达其他社交媒体apis .. @ollieread – Oguzhan
您的应用程序是否处理前端或将数据提供给其他系统? – ollieread