保护REST API/Web服务的最佳实践
2021-07-12 03:08
标签:art direct 安全性 ref option code 操作 应用 pat 在设计REST API或服务时,是否存在处理安全性(身份验证,授权,身份管理)的最佳实践? 在构建SOAP API时,您可以使用WS-Security作为指导,有关该主题的文献很多。我发现了有关保护REST端点的更少信息。 尽管我了解REST故意没有类似于WS- *的规范,但我希望最佳实践或推荐模式已经出现。 任何有关文件的讨论或链接将非常感激。 如果它很重要,我们将使用WCF和POX/JSON序列化消息来构建使用.NET Framework v3.5构建的REST API/Services。 Github上有一个很棒的清单: 的验证 保护REST API/Web服务的最佳实践 标签:art direct 安全性 ref option code 操作 应用 pat 原文地址:https://www.cnblogs.com/softidea/p/9609991.html
Basic Auth
使用标准认证(例如JWT
,OAuth
)。Max Retry
和jail功能。
TTL
,RTTL
)。JWT
有效载荷中存储敏感数据,它可以被轻松解码。
redirect_uri
服务器端是否只允许列入白名单的网址。response_type=token
)。OAuth
身份验证过程中的CSRF
。
HSTS
标头来避免SSL Strip攻击。
GET
(读取),POST
(创建),PUT/PATCH
(替换/更新)和DELETE
(删除记录),如果请求的方法不是,则使用405 Method Not Allowed
回应适合请求的资源。Accept
标题(内容协商)以仅允许您支持的格式(例如application/xml
,application/json
等),并在406 Not Acceptable
响应中回应(如果不匹配)。content-type
(例如,application/x-www-form-urlencoded
,multipart/form-data
,application/json
等)。Authorization
标头。Rate Limit
策略(例如配额,尖峰捕捉,并发速率限制)以及动态部署API资源。
X-Content-Type-Options: nosniff
标头。X-Frame-Options: deny
标头。Content-Security-Policy: default-src‘none‘
标头。X-Powered-By
,Server
,X-AspNet-Version
等。application/json
,那么您的响应内容类型为application/json
。content-type
作为回应。200 OK
,400 Bad Request
,401 Unauthorized
,405 Method Not Allowed
等)。
https://oomake.com/question/731