可能重复:
通过 https 发送敏感数据的安全性如何?
JSON 数据到 Web 服务 - 如何定义预期的 JSON 数据
我正在构建一个接受 JSON 作为其有效负载的 REST Web 服务。现在,我的 Web 服务非常简单。它只是从客户端系统接收数据并在我们的系统中创建订单(Web 服务基本上是现有功能的包装器)。
现在,我通过应用程序中的用户名和密码对用户进行身份验证。我是否只是要求他们在发送的 JSON 数据中提供他们的用户名/密码?这安全吗?
该服务通过 HTTPS 运行。
问问题
1619 次
1 回答
0
正如我在上面的评论中所写的,目前还不清楚您想知道什么。也许是因为有很多“取决于”的潜力。
让我们看看你能做什么:
- 您可以将身份验证放在传输层上,这里是 HTTP。这将允许您很早地进行身份验证,例如在(网络)服务器级别。
- 您可以使用 json 有效负载传递凭据,然后在您的应用程序中进行身份验证。这可以与 1 结合使用。
- 您可以创建一个经过身份验证的会话,并传递一个会话密钥。然后 API 请求需要有一个会话,否则它们不会被接受。这可以与 2. 和 3 结合使用。
只要传输层对您来说足够安全(这里是 TLS/SSL),就可以做任何让您满意的事情。根据您选择的模式,您将有更多工作要做。
此外,通常在用户凭证旁边还有一个所谓的 API 密钥,Web 服务使用它能够将每个 API 请求映射到某个实体,这也可以在身份验证中发挥一些作用。但是,API-Key 就像用户名和密码合二为一,所以它不是那么灵活。
于 2012-09-26T12:51:56.427 回答