2. 질의 응답
  3. URI에 리소스 ID를 전달하는 최상의 보안 방법

URI에 리소스 ID를 전달하는 최상의 보안 방법

2016-09-23 2 views
0

현재 은행 용 나머지 API를 개발 중입니다. Rest API 원칙에서 URI는 고유하게 식별됩니다. 그것은 우리가 요청 URL 등의 자원 ID 통과해야 의미 :/고객/ URI에 리소스 ID를 전달하는 최상의 보안 방법

그러나 문제

  • 삭제/

    • GET/고객/
    • PUT/고객에 내 보안상의 이유로 인해 금지 된 URI의 은행 전달 ID입니다. (URI는 어느 하나라도 읽을 수 있음)

      Rest Resources의 명명 원칙을 위반하지 않고이 보안 문제를 극복하기위한 업계 표준 모범 사례가 알려주시겠습니까?

    • 출처

    2016-09-23 Dinusha

    +0

    URI에 ID를 넣을 수 있습니까? 세션 ID 나 신용 카드 번호와 같은 민감한 데이터는 전달하지 말아야한다는 것을 이해합니다. 이는 여러 가지 이유로 인해 최선의 방법입니다 (요청 URL이 클라이언트, 프록시에 로그온 한 상태가 모니터에서도 볼 수 있음). 언젠가, 등등.) 그러나 일반적으로 모든 리소스 ID? 그것은 많은 의미를 가지지 않을 것입니다. –

    +0

    와우, 어느 은행? –

    답변

    1

    하지만 보안상의 이유로 인해 은행 계좌에 ID가 전달되는 것이 문제가 있습니다. (URI는 어느 하나라도 읽을 수 있습니다)

    즉, TLS/SSL을 사용하지 않으면 뱅킹과 같은 보안에 중대한 환경이 필요 없습니다. 누군가가 귀하의 요청을 읽을 수 있다면, 그는 귀하의 HTTP 트래픽을 읽을 수 있으므로이 전선을 통해 전송 된 모든 것을 URL, 헤더 또는 내용의 내용으로 안전하게 보호 할 실제 방법이 없습니다!

    URI에 무엇이든 넣을 수 없다면 깨끗하고 간결한 restfull HTTP API를 개발하는 데 어려움을 겪을 것입니다!

    출처

    2016-09-23 11:47:29 enzian

    +0

    TLS/SSL을 사용하고 있습니다. 그렇다면 URL에 ID를 전달할 때 보안 문제가 없음을 보장 할 수 있습니까? – Dinusha

    +1

    제대로 완료되면; 확실한! TLS는 HTTP 엔드 포인트 간의 모든 통신을 암호화합니다. 여기 TLS에서 읽으십시오. https://de.wikipedia.org/wiki/Transport_Layer_Security – enzian

    +0

    URL은 현금이되거나 브라우저 기록에 저장 될 수 있습니다. – Dinusha

    관련 문제

     관련 문제