PayPal REST API 安全问题

【问题标题】：PayPal REST API security questionsPayPal REST API 安全问题
【发布时间】：2013-09-06 01:02:03
【问题描述】：

我担心 PayPal 的新 REST API 安全性。我已经用它开发了简单的网络应用程序（使用保险库直接卡支付和使用 Paypal 帐户支付），但我想知道：

我注意到请求的内容没有生成签名，每个 REST API 请求都传递，因此 PayPal 的服务器可以确定请求中的内容不会被未经授权的人更改。
如何防止重复的 API 请求？我认为这是通过包含一些签名的时间戳和类似的东西在 Classic API 中解决的。但是如何在新的 REST API 中保护它？

这些是我想到的问题，如果您还有其他安全问题，请告诉我们...？

【问题讨论】：

标签： security rest paypal

【解决方案1】：

通过专门使用 HTTPS 加密与服务器的通信，API 免受中间人攻击。
HTTPS 还可以保护您免受重放攻击。

当不希望使用 HTTPS（通常是因为您希望能够缓存响应）时，签名哈希和时间戳对于解决这些问题很有用。

【讨论】：

你的回答很有用！所以，根据你的第一个答案，HTTPS 加密会解决这个问题。但我认为在 Classic API 中，我们使用了用密钥生成的加盐哈希，它处理了它。为什么突然不再需要它了?

【解决方案2】：

为确保幂等性（防止重复的 API 请求），您可以设置 PayPal-Request-Id 标头。见https://developer.paypal.com/webapps/developer/docs/api/#authentication--headers

【讨论】：

是的，有道理

猜你喜欢

2013-11-17
2012-11-21
1970-01-01
1970-01-01
1970-01-01
2018-02-17
2015-01-15
2016-08-21
2020-07-11

相关资源

下载 2021-06-06
下载 2021-06-06
下载 2023-03-09

最近更新更多

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode