タグ付けされた質問 「rest-security」

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 2年前休業。 REST APIまたはサービスを設計するときに、セキュリティ（認証、承認、ID管理）を処理するための確立されたベストプラクティスはありますか？ SOAP APIを構築する場合、ガイドとしてWS-Securityがあり、このトピックに関する多くの文献が存在します。RESTエンドポイントの保護に関する情報が少なくなりました。 RESTにはWS- *に類似した仕様が意図的にないことを理解していますが、ベストプラクティスまたは推奨パターンが浮かび上がってきたことを願っています。 議論や関連文書へのリンクは非常に高く評価されます。必要に応じて、.NET Frameworkのv3.5を使用して構築されたREST API /サービスのPOX / JSONシリアル化メッセージでWCFを使用します。

828 wcf  security  rest  authorization  rest-security 

RESTful認証とは何を意味し、どのように機能しますか？Googleで適切な概要を見つけることができません。私の唯一の理解は、URLでセッションキー（メモ）を渡すことですが、これはひどく間違っている可能性があります。

745 rest  authentication  restful-authentication  rest-security 

バックグラウンド： REST Webサービスの認証スキームを設計しています。これは「本当に」安全である必要はありません（個人的なプロジェクトに近いものです）が、エクササイズ/学習体験としてできるだけ安全にしたいと考えています。面倒なこと、たいていの場合は設定にかかる費用が不要なので、SSLを使用したくありません。 これらのSOの質問は、私を始めるのに特に役立ちました。 RESTful認証 REST API / Webサービスを保護するためのベストプラクティス 最高のSOAP / REST / RPC Web APIの例は？そして、なぜあなたはそれらが好きですか？そして、それらの何が問題になっていますか？ Amazon S3の認証の簡易バージョンを使用することを考えています（私はOAuthが好きですが、私のニーズには複雑すぎるようです）。リプレイ攻撃を防ぐために、サーバーによってランダムに生成されたnonceをリクエストに追加しています。 質問に行くには： S3とOAuthはどちらも、いくつかの選択されたヘッダーとともにリクエストURLに署名することに依存しています。どちらも POSTまたはPUTリクエストのリクエスト本文に署名しません。これは、URLとヘッダーを保持し、リクエストの本文を攻撃者が必要とするデータに置き換える中間者攻撃に対して脆弱ではありませんか？ 署名される文字列にリクエスト本文のハッシュを含めることで、これを防ぐことができるようです。これは安全ですか？

228 rest  authentication  oauth  amazon-s3  rest-security