保护移动设备的 Web API

【问题标题】:Securing Web API for mobile devices保护移动设备的 Web API
【发布时间】:2011-07-31 11:01:01
【问题描述】:

我们有一个用于本地搜索网站的 API,用于我们的移动应用程序。

目前,

  • API 未公开
  • API 中未提供用户数据
  • 正在通过 http 运行

我想保护我们通过 API 发送的数据。我做了一些研究,看起来 Oauth 是要走的路

  • Oauth 是正确的方法吗? (我们目前将使用 2 legged oauth,但将来如果需要用户许可,我们将改用 3 legged oauth)
  • API 需要 https 吗?自签名证书可以正常工作吗?

【问题讨论】:

    标签: security api oauth


    【解决方案1】:

    Oauth 最适合涉及第三方(提供商)的场景。例如:使用 Facebook 登录。

    如果用户必须登录您的服务才能访问 API,您可以使用基本身份验证。 (通过 Https 将凭据附加到 Http 标头)

    最后:是的,你需要 Https。如果您控制客户端和服务器,则自签名证书可以工作。例如对于 Android,您可以导入您的证书):

    http://developer.android.com/training/articles/security-ssl.html(自签名服务器证书部分)

    但是,如果您正在创建 Web 客户端,用户会收到关于不受信任站点的警告。

    【讨论】:

      猜你喜欢
      • 2014-08-26
      • 1970-01-01
      • 2013-08-21
      • 2011-04-04
      • 1970-01-01
      • 2021-07-16
      • 2014-09-21
      • 1970-01-01
      • 2019-06-06
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode