问题标签 [api-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
350 浏览

wso2 - 仅为某些请求删除安全性 wso2 api manager

是否可以使用 WSO2 API 管理器版本 3 删除我的 api 列表中某些特定请求的安全性。

例如,我有以下请求

就我而言,我不需要安全性/products - get

更新

我尝试了@Pubci 获取请求响应的建议

0 投票
2 回答
852 浏览

android - 如何处理 REST API 中的机器人

我有一个移动应用程序,用户在其中投放广告,其他用户查看并接受它。最近,我开始注意到机器人开始发布自己的广告。我有版主,但广告太多,无法检查所有内容(另一个挑战是,讨价还价会立即实时发生)。它是经典的 REST API。我用谷歌搜索了很多,令我惊讶的是找不到任何可以防止非法机器人活动的开源解决方案。您如何处理此类案件?是否有可能完全消除它,或者我只能采取一些措施让他们的生活更加困难?

0 投票
0 回答
106 浏览

r - 是否可以通过从 Web 读取 CSV 或解析 JSON 的函数在 R 中进行代码注入?

未充分清理输入的 Web 框架可能容易受到SQL 注入的影响。

R 进程是否以同样的方式容易受到“R 注入”的影响?也就是说,是否有人(或某些 API)可以向 R 函数(尤其是那些可以从 Web 读取的函数,例如read.csv(), jsonlite::fromJSON())提供导致代码执行的输入?

我已经知道代码注入在 SQL 以外的语言中是可能的,尽管我还没有在 R 中发现任何示例。

我在 shiny中看到了一些SQL注入示例,但请注意,我对了解可能的R注入(而不是 SQL 注入)感兴趣。

如果相关,实际用例是一个 R 函数,它通过从外部 API 读取 JSON jsonlite::fromJSON()- 我希望确保任何 JSON 数据(有效或格式错误)都不可能导致 R 函数中的远程代码执行。该函数对 SQL 没有任何作用,因此我对 SQL 注入不那么感兴趣。

0 投票
1 回答
34 浏览

api - 在我的前端有一个 API 密钥来访问我的 api 是否有意义?

据我了解,API 密钥通常用于第 3 方访问,但是使用一个来验证它是我的前端与 api 对话是否有意义?我想尽可能地保护我的 API,所以任何其他提高其安全性的想法都会很棒

0 投票
2 回答
955 浏览

spring - Spring Boot API如何验证请求标头中发送的NONCE值以避免重放攻击

我有一个带有自定义身份验证的 Spring Boot 应用程序。我正在使用 Servlet 过滤器拦截 API 请求并验证发送的请求令牌。我还从客户端请求Nonce请求标头,这是在每个 API 调用中从客户端发送的唯一值。

我想知道是否有检查标头中收到的 Nonce 的标准方法。我想避免使用 Nonce 进行重放攻击。

我能想到的一种实现是 - 将收到的 Nonce 存储在请求中 1 分钟/在内存中维护 100 个请求的 LRU 缓存,并确保它不会再次收到。

如果您可以向我指出一些很好的资源来检查 Nonce 的好方法,那将会很有帮助。

我的安全过滤器

PS:我没有使用 Spring 安全性进行 API 验证,因为在我的用例中不需要它。

0 投票
1 回答
33 浏览

security - 在到期时提供新的 JWT

我的客户是一家拥有我的网络服务器凭据的公司,我希望他让他的最终用户使用我为他提供的 JWT 调用我的 API。这是流程:

  1. 最终用户向客户的网络服务器请求一个网页
  2. 如果最终用户没有我的网络服务器的 JWT,客户的服务器使用他的凭据调用我的 API,我给他一个有效期为 1 小时的新 JWT
  3. 客户将 JWT 发送回其最终用户并将其存储在 localstorage / cookies 中
  4. 最终用户可以使用他的 JWT 调用我的 API
  5. 当最终用户从我的 API 过期后获得状态代码 401 时,他再次将客户的网络服务器调用到特定端点以获取我的 API 过期时间为 1 小时的新 JWT,然后他可以再次调用我的 API。

我想听听您对此流程的意见,并了解它是否合理。有没有办法改善这个流程?也许最终用户应该寻找他的令牌,如果它过期,以避免调用我的 API 并跳过该部分以缩短往返行程?

0 投票
2 回答
1009 浏览

php - 无需用户注册的安全 API - php/Laravel

我在 Laravel 中有一个 API,主要是 GET 端点和一个 android 应用程序。

该应用程序旨在无需身份验证即可打开,例如booking.com,您无需登录或注册即可浏览酒店。

任何人都可以访问我的端点并获取原始 JSON 数据,甚至可以在他们自己的应用程序中创建一个使用我的端点的应用程序。

如何保护我的端点?例如,使用基于令牌或任何其他签名仅信任我的客户端应用程序。

实际上我从堆栈交换中复制粘贴了这个问题,但这正是我的问题

0 投票
1 回答
458 浏览

reactjs - React JS 中的安全 API 调用

我有一个 API,我想从我的前端发出请求,它是使用 React 构建的。但是,我不希望任何人能够在我的代码中看到 API 调用,因为如果有人只是打开检查窗口,那么他们就可以看到 API 调用。我考虑过可能会在请求中添加某种标头作为身份验证发送,但这也不起作用,因为如果您检查站点,您只能看到代码。

我该怎么做?我的 API 返回一个私钥,我不能直接将它存储在我的代码中的变量中。

抱歉,如果这个问题没有意义,但我感谢所有帮助。

0 投票
1 回答
57 浏览

azure - 使用 OAuth2.0 资源所有者密码凭证访问安全 API

我有一个安全的 API 学生 API,我可以通过 OAuth2.0 客户端凭据流访问它,它使用IConfidentialClientApplication应用程序创建访问令牌并访问受保护的应用程序。

现在使用 OAuth 2.0 资源所有者密码凭证访问安全 API。我主要使用微软 github 页面中的代码。

https://github.com/azure-samples/active-directory-dotnetcore-console-up-v2

我可以使用用户名和密码登录,也可以生成访问令牌。但此访问令牌无法访问我的安全学生 API。尽管示例代码能够访问 Microsoft 图形 API,但它无法访问我的安全 API。

我也尝试为我的安全学生 API 允许公共客户端流,并解密两个访问令牌以查看差异。有很多不同。我在这里注意到的是在 ROPC 流程中使用IPublicClientApplication在获取令牌时我无法提供 ResourceId。所以“aud”在 ROPC 令牌和其他领域也是不同的。谁能告诉我哪里可能出错或如何解决上述情况?

0 投票
0 回答
535 浏览

asp.net-core - 使用 ping 身份 OAuth2.0 在 .net 核心中验证 API

问题陈述:我想使用 ping 身份 OAuth 2.0 保护 API。我正在关注这个博客,但我得到了 401。

我已经在邮递员工具中配置了 OAuth2.0,详细信息由 ping 身份团队提供,我能够生成令牌,但当我复制粘贴并将其作为承载发送时,我在 API 中得到 401。

我怀疑我是否提供了错误的回调 URL。如果我的 API URL 是http://web.abc.com/_api/home/userinfo那么我的回调 URL 应该是什么?

注意:我没有在浏览器中使用此解决方案,而是直接尝试保护 API。可能是我的做法本身不正确。让我知道是否有更好的解决方案。

编辑 :

Startup.cs看起来像这样:

Controller看起来像这样:

在此处输入图像描述