내 API (데스크톱 응용 프로그램) (기본적으로 난 그냥 요청에 http 대신 https를 사용하고 있습니다) SSL을 통해 기본 HTTP 인증을 사용하여 내 웹 응용 프로그램과 통신합니다. 내 API는 사용자가 잘못된 정보를 전송하지 않도록 만드는 로직을 구현했습니다,하지만 난이 문제는 누군가가 API를 무시하고 내 웹 응용 프로그램에 가입하기 때문에 자격 증명을 취득하는 것은 간단하다 (잠재적 후 잘못된 데이터에 컬 사용할 수 있다는 것입니다 비어 있는).보안 조언 : SSL 및 API 액세스
나는 다음과 같은 옵션에 대한 생각 :
웹 응용 프로그램에서 API의 논리를 중복 그래서 사용자는 곱슬 곱슬하거나 동일한 조건되게됩니다 다른 도구를 사용하여 시스템을 속이려고해도 .
- 는 단지 내 API 내 웹 응용 프로그램과 통신 할 수 있는지 확인하기 위해 추가 인증 검사를 구현합니다. (아마 SSL 클라이언트 인증서?).
암호화 데이터 (자료 64?)
나는 컬과 같은 도구를 사용하여 내 웹 응용 프로그램을 스푸핑 사용자에 대한 약간의 편집증거야 알고 있지만 나는 오히려 미안한 것보다 안전한 것입니다. 논리를 복제하는 것은 정말 고통스럽고 나는 그렇게하지 않을 것입니다. SSL 클라이언트 인증서에 대해 잘 모릅니다. 기본 HTTP 인증과 함께 사용할 수 있습니까? 그들은 내 요청을 처리하는 데 더 오래 걸릴 것입니까? 다른 옵션은 무엇입니까?
미리 감사드립니다.
내 의견으로는 서버 측의 유효성 검사를 대체 할 수 없습니다. – sinelaw
해답을 모두 주셔서 감사 드리며, 서버 측 유효성 검사를 실시하겠습니다. – David