我们正在开发iPhone应用程序以及第三方。该应用程序将通过HTTP从ASP.NET WebAPI请求数据。大多数时候这些请求是只读的,没有副作用,但其中的一些允许用户更改数据或发送电子邮件。如何保护API不被使用我们的应用程序的用户调用?包括一个简单的密码似乎是无效的,因为它可以很容易地被任何有权访问应用程序的人嗅探。如何保护HTTP REST API免遭恶意使用?
有没有一个标准的机制或技术来防止这样的问题呢?
编辑:它可能是足够的,可以添加一个简单的密码来请求,但然后使用API的强制HTTPS?如果使用HTTPS,可能添加密码不会提高安全性吗?
您需要在REST服务的身份验证/授权中执行此操作。您可以在其中获得测试,无论用户是否已通过身份验证。 –