0

当通过 HTTP 公开为 JSON 时,保护 REST 接口的一般步骤是什么?

这是我的想法(将使用 OAuth2 进行身份验证):

  • 清理客户端和服务器端的输入
  • 在安全端点上强制使用 HTTPS
  • 提供 CSRF 保护(state在 OAuth2 流程中使用参数)
  • 在端点和客户端之间,以及端点和后端组件之间放置一个队列+缓存——例如:Redis;帮助处理可能的 DDoS [和一般性能]
  • 确保防火墙和其他此类机制到位(网络服务器安全)

您还建议我在启用该系统之前如何关闭舱口?

4

1 回答 1

0

我的观点:

1- 始终使用 https,而不仅仅是在安全端点上。这将防止“中间人”类型的问题。2- AFAIK,仅当您实施“授权码”授权类型时,您才需要 CSRF 保护。3- 对于轻微的 DDoS 攻击,请使用 apache 的 mod_evasive 之类的东西来防止在 Web 服务器层本身发生这种情况,而不是去应用程序层。对于主要的(如今您可以以几百美元的价格租用数百/数千台计算机的僵尸网络),您将需要 Akamai 或类似的昂贵解决方案。

于 2013-07-16T08:04:15.790 回答