가능한 중복 : Best Practices for securing a REST API/web service 내가 데스크톱 응용 프로그램을 만들고있어이 응용 프로그램에서 내가 데이터를 삭제// 업데이트/읽기 만들 수있을 것입니다 데이터베이스에서. 이 작업에 대해 나는 PHP REST API를 만들었으므로 /api/users으로 전체 목록을 얻고 /api/us
저는 REST API를 제공하는 Spring Boot 웹 애플리케이션을 개발 중입니다. 대부분의 내 페이지 (thymeleaf 템플릿)는이 API를 사용하여 백엔드 (AJAX 요청 사용)와 통신합니다. 나는 Basic Authentication, OAuth2 등과 같은 다른 접근법에 대해 읽었다.이 접근법은 사용자 인증을 기술 한 후 사용자가 API에 액세
안드로이드 응용 프로그램과 결합 된 (NodeJs/hapi)의 api 서버를 개발 중입니다. Google 및 Facebook과 같은 타사를 통해 로그인하는 방법을 이해하는 데 문제가 있습니다. 지금까지 내 전략은 다음과 같습니다 것은 내 애플 리케이션 (안드로이드) 구글/페이스 북 (안드로이드)에서 이메일 및 기타 데이터를 얻을 내 서버에 이메일 및 데이터
Android 앱이 있습니다. 백엔드 서버가 있습니다. 요청이 내 앱을 통해 이루어 졌는지 확인하는 가장 좋은 방법은 무엇입니까? 현재 Google 인증 토큰을 사용하여 사용자를 확인합니다. 다른 더 좋은 방법이 있습니까 ?? 백엔드는 PHP로 제공되며 VPS (BaaS 서비스를 사용하지 않음)에서 호스팅됩니다.
저는 Couchbase에서 새로 왔으며 내 질문과 관련하여 어떤 출처도 찾을 수 없습니다. 저는 Cordova (Phonegap)를 사용하여 모바일 응용 프로그램을 개발하려고했습니다. Couchbase는 데이터베이스로서 좋은 솔루션이라고 생각했습니다. 하지만 보안에 관한 질문이 있습니다. Couchbase Lite PhoneGap 플러그인을 사용하면 서버
OpenAM을 처음 사용하고 OpenAM을 사용하여 웹 서비스를 보호하려고합니다. 링크에 아래 정보를 사용하여 J2EE 정책 에이전트를 설치했습니다. https://wikis.forgerock.org/confluence/display/openam/Installing+Tomcat+6.0+Policy+Agent 나는 나의 REST API에 대한 보안을 제공해야
현재 REST API 구현시 모든 유형의 요청 (PUT, POST, GET)에 대해 queryString 내에 apiKey가 사용됩니다. 내가 틀렸다고 생각하지만 왜 (어쩌면 apiKey는 서버와 클라이언트 사이 어딘가에서 현금화 할 수있다) 설명 할 수 없다. 같은 뭔가 : 그래서 POST /objects?apiKey=supersecret {name: '
웹 서버에 노출 된 나머지 API를 사용하는 웹 사이트가 있습니다. 콘텐츠 웹 사이트이며 무료입니다. 따라서 누구나 탐색 할 수 있습니다 (백그라운드에서 다른 REST API를 호출 함). 동시에 누군가가 브라우저의 개발자 도구로 인해 내 endponits을 알아 내고 그 서버를 수백만 번 호출하여 내 서버를 다운시킬 수 있다고 걱정합니다. 브라우저를 제외
기존 애플리케이션의 REST 레이어를 구현 중입니다. 내 사용자 ID와 암호가 데이터베이스에 저장되어 있고 내 REST 서비스를 호출하는 동안이 자격 증명을 인증하고 싶습니다. 이것은 독립 실행 형 응용 프로그램입니다. 조사 후, 나는 두 가지 방법을 알아 냈습니다. HTTPS를 통한 기본 구현 -이 접근 방식은 사용자 ID와 패스워드가 중간 공격의 사람에
지금까지 읽은 대부분의 튜토리얼은 @EnableResourceServer 대신 API 게이트웨이에서 @EnableOAuth2Sso을 사용합니다. 차이점은 무엇입니까? 대조적으로 OAuth2Sso의 기능은 무엇입니까? 세부 사항 : 스프링 기반 마이크로 서비스 및 단일 페이지 응용 프로그램을위한 보안/인프라 아키텍처를 구현하고 있습니다. 얼마 동안은 보안 요