6
我们正在与一家通过RESTful API公开其服务的服务提供商合作。使用RESTful API - 安全吗?
我们可以通过传递用户名和密码作为URL参数来验证API。
例子:https://example.com/api/service.json?api_user=Username&api_key=Password
我知道这是使用SSL。但是,由于用户名和密码是URL的一部分,第三方是否可以拦截?
A
回答
7
不,第三方只能看到目的地(example.com)。 URL的其余部分实际上嵌入在请求中。
它有助于了解如何进行HTTP(或HTTPS)请求的过程。
- 确定协议(在这种情况下,HTTPS,使用端口443)使用DNS
- 建立TCP连接到服务器(如SSL参与,它更复杂一点)服务器的
- 获取IP地址
问题的新的连接到服务器的请求,这将是这个样子
GET /api/service.json?api_user=Username&api_key=Password
由于实际请求是加密数据流的一部分,因此有人无法监视连接来提取敏感信息。
5
但是,由于用户名和密码是URL的一部分,因此不能由第三方截取 ?
URL也在加密下发送。换句话说,保护通道的过程在之前发生,URL被发送到服务器。
你很安全。
6
以前的答案在技术上都是正确的;如果您使用的是HTTPS,则URL和查询字符串数据在传输之前将被加密,并且可以被认为是安全的。
但是,API要求输入用户名和密码作为查询字符串参数的事实可能表明安全性有些松懈。
例如,许多Web服务器默认记录请求查询字符串参数,这意味着您的纯文本凭据可能位于磁盘某处(并且许多公司将以不安全的方式存储或备份网络服务器日志) 。
简而言之:将查询作为查询字符串参数传递并不是安全风险本身,但通常是不好的做法,可能是更大的安全问题的症状。
相关问题
- 1. RESTful API安全
- 2. 安全PHP RESTful API
- 3. 使用RESTful API的安全javascript密码
- 4. Restful API:如何安全地访问api?
- 5. RESTful API身份验证和安全
- 6. 安全地向RESTFUL API提供凭证
- 7. RESTful API身份验证/安全
- 8. 使用paypal html api是安全的吗?
- 9. 使用Google OAuth2授权服务器的安全Spring RESTful API
- 10. 使用RESTful API
- 11. 使我的网络api安全吗?
- 12. 怀疑上使安全登录与一个RESTful API
- 13. 在Android中使用RESTful API
- 14. 从内部调用Sidekiq API安全吗?
- 15. 使用Node.js的安全API
- 16. 将iPhone应用连接到安全的RESTful API?
- 17. JSON RESTful服务安全
- 18. RESTful WCF服务安全
- 19. 使用javascript sha1安全吗?
- 20. 使用SET ROWCOUNT安全吗?
- 21. 要使用shared_ptr,安全吗?
- 22. 使用代理安全吗?
- 23. 使用MD5不安全吗?
- 24. 使用Capistrano安全吗?
- 25. 使用Parse.Object.attributes安全吗?
- 26. 使用window.screen安全吗?
- 27. 使用ComputedProperty安全吗?
- 28. 使用cstdarg安全吗?
- 29. WCF RESTful API
- 30. RESTful API 404成功了吗?
也许它可能以不受保护的形式出现在Web服务器日志中。 – mlt
@mit - 是的,这可能是一个问题。服务提供商有责任确保这些请求不会被记录或在日志中进行适当审查。 – Ferruccio