タグ付けされた質問 「rest-security」

18
REST API / Webサービスを保護するためのベストプラクティス[終了]
休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか?この投稿を編集して、事実と引用で回答できるように質問を更新してください。 2年前休業。 REST APIまたはサービスを設計するときに、セキュリティ(認証、承認、ID管理)を処理するための確立されたベストプラクティスはありますか? SOAP APIを構築する場合、ガイドとしてWS-Securityがあり、このトピックに関する多くの文献が存在します。RESTエンドポイントの保護に関する情報が少なくなりました。 RESTにはWS- *に類似した仕様が意図的にないことを理解していますが、ベストプラクティスまたは推奨パターンが浮かび上がってきたことを願っています。 議論や関連文書へのリンクは非常に高く評価されます。必要に応じて、.NET Frameworkのv3.5を使用して構築されたREST API /サービスのPOX / JSONシリアル化メッセージでWCFを使用します。

14
RESTful認証
RESTful認証とは何を意味し、どのように機能しますか?Googleで適切な概要を見つけることができません。私の唯一の理解は、URLでセッションキー(メモ)を渡すことですが、これはひどく間違っている可能性があります。

6
REST認証スキームのセキュリティ
バックグラウンド: REST Webサービスの認証スキームを設計しています。これは「本当に」安全である必要はありません(個人的なプロジェクトに近いものです)が、エクササイズ/学習体験としてできるだけ安全にしたいと考えています。面倒なこと、たいていの場合は設定にかかる費用が不要なので、SSLを使用したくありません。 これらのSOの質問は、私を始めるのに特に役立ちました。 RESTful認証 REST API / Webサービスを保護するためのベストプラクティス 最高のSOAP / REST / RPC Web APIの例は?そして、なぜあなたはそれらが好きですか?そして、それらの何が問題になっていますか? Amazon S3の認証の簡易バージョンを使用することを考えています(私はOAuthが好きですが、私のニーズには複雑すぎるようです)。リプレイ攻撃を防ぐために、サーバーによってランダムに生成されたnonceをリクエストに追加しています。 質問に行くには: S3とOAuthはどちらも、いくつかの選択されたヘッダーとともにリクエストURLに署名することに依存しています。どちらも POSTまたはPUTリクエストのリクエスト本文に署名しません。これは、URLとヘッダーを保持し、リクエストの本文を攻撃者が必要とするデータに置き換える中間者攻撃に対して脆弱ではありませんか? 署名される文字列にリクエスト本文のハッシュを含めることで、これを防ぐことができるようです。これは安全ですか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.