安全地与Html 5 / Javascript一起使用的联系 REST API 的方法
安全地与Html 5 / Javascript一起使用的联系 REST API 的方法
这是一个类似于以下问题的情况:\nJavascript使用应用程序名称和应用程序密码调用Rest API - 如何保护它\n以下是架构概述:\n
- \n
- 该网站是Html5/jquerymobile
- 它与我称之为“包装器”服务联系... 这是我用C#编写的一个REST API,用于联系另一个第三方REST API。 我这样做是因为头部中有凭据,而该API使用基本身份验证。 因此,凭据不会公开,因为它们只在服务器端知道。
- 我的“包装器”服务目前没有实现任何额外的安全措施。 它当前可以从任何地方访问。 锁定它的最简单和最快速的方法是通过IP限制,这样除了服务器之外的任何IP都无法联系我的包装器服务。
\n
\n
\n
\n问题:\n锁定IP是确保API不会被大量访问的唯一方法吗?\n如果我使用Phonegap进行转换(我已经做了...并且成功部署在Android上),显然如果网络服务受限,原生应用程序将无法工作。\n是否有办法解决这个问题,以便只允许来自移动应用程序的流量,而不允许来自其他任何源?我在考虑使用MD5哈希或其他一些可以发送到包装器API的东西...但是不幸的是,我认为这些信息很容易被“嗅探”。\n在这里,我唯一可行的选择是将应用程序发布为Web应用程序,强制使用浏览器,从而消除对允许我的Web服务被大量访问的任何担忧吗?
在使用Html 5 / Javascript与REST API进行联系时,有一个安全问题需要解决。问题的出现原因是因为我们需要一种安全的方式来联系REST API,以防止用户的敏感信息被拦截和窃取。为了解决这个问题,可以采取以下方法。
首先,可以使用用户令牌和通过SSL加密消息的组合方式来确保安全性。服务器可以为合法用户发放一个令牌,以便在未来的请求中识别该用户。这样可以确保只有持有有效令牌的用户才能与REST API进行通信。
其次,通过使用SSL加密消息,可以确保令牌和其他敏感信息在传输过程中无法被窃取。SSL(Secure Sockets Layer)是一种加密协议,通过在网络通信中使用公钥和私钥来保护数据的传输安全性。使用SSL可以确保通信过程中的数据加密和身份验证,从而防止中间人攻击和信息泄露。
为了更深入了解如何使用SSL来保护GET和POST请求的安全性,可以参考以下链接:https://security.stackexchange.com/questions/12531/ssl-with-get-and-post。
通过使用用户令牌和SSL加密消息的组合方式,可以确保安全地联系REST API,并防止用户的敏感信息被拦截和窃取。这种方法可以保护用户的隐私和数据安全,提供更安全的网页应用程序体验。