不通过API服务器从客户端访问Elasticseach安全吗?
不通过API服务器从客户端直接访问Elasticsearch是不安全的。
Elasticsearch是一个开源的分布式搜索和分析引擎,它提供了RESTful API来与其进行交互。通过API服务器来访问Elasticsearch可以提供一定的安全性保障,因为API服务器可以实施访问控制、身份验证和授权等安全机制。
如果直接从客户端访问Elasticsearch,存在以下安全风险:
- 访问控制不完善:客户端直接访问Elasticsearch可能无法进行有效的访问控制,导致未经授权的用户可以访问和修改数据。
- 数据泄露风险:客户端可能会将敏感数据直接暴露给Elasticsearch,而无法进行数据加密和保护,从而增加了数据泄露的风险。
- 跨域攻击:如果客户端直接与Elasticsearch进行通信,没有合适的跨域策略,可能会受到跨域攻击,导致安全漏洞。
为了保证Elasticsearch的安全性,建议通过API服务器来访问Elasticsearch,并在API服务器上实施以下安全措施:
- 访问控制:使用身份验证和授权机制,只允许经过身份验证的用户访问Elasticsearch,并根据用户角色进行权限控制。
- 数据加密:通过HTTPS协议对API服务器和Elasticsearch之间的通信进行加密,确保数据在传输过程中的安全性。
- 防火墙和网络安全:在API服务器和Elasticsearch之间设置防火墙,限制访问来源和端口,以及其他网络安全措施,防止未经授权的访问和攻击。
- 日志和监控:定期监控和审计API服务器和Elasticsearch的访问日志,及时发现异常行为和安全事件。
腾讯云提供了Elasticsearch的托管服务,称为Tencent Cloud Elasticsearch,它提供了安全可靠的Elasticsearch集群,支持访问控制、数据加密、日志审计等安全功能。您可以通过以下链接了解更多信息:https://cloud.tencent.com/product/es
相关·内容
我计划使用Spring后端和客户端在RESTful上创建应用程序。
我想用谷歌RESTful授权服务器来保护我的Spring。
我有一个建筑问题:
在谷歌获得成功授权后,我将从谷歌OAuth2授权服务器接收OAuth2。我是否需要将这个accessToken传输到我的客户端应用程序(AngularJS),还是需要在我的后端应用程序(例如JWT)中引入一些自己的安全层,并基于发布自己的jwtToken,并且只将这个令牌传输给我的客户端应用程序?
换句话说,将accessToken从谷歌展示到我的客户端AngularJS应用程序并在我自己的RESTful API中进行身份验证是否安全?
此外,如果
浏览 2提问于2016-01-06得票数 9
回答已采纳
1回答
我现在正在实现一种基于微服务的架构。我在我的 (用于身份验证和授权的微服务)中使用UsersService来生成令牌,并在其他每个微服务中使用基本的JWT验证工具,以确保JWT是合法的(包括对每个微服务上被撤销的令牌的直接访问)。
目前,我正在使用建议的体系结构,提供访问和刷新令牌。
我考虑的是不直接向客户端公开JWT访问令牌,而是实现一个API网关,该网关将在每个请求上将刷新令牌转换为JWT。然后将JWT传递给内部微服务,以确保内部安全。
为此,客户端只需要访问刷新令牌,因为常规的JWT(寿命非常短)只用于身份验证和授权用户内部的。我计划在这些JWT中包含所有权限和范围信息,而刷新令牌将只有
浏览 4提问于2021-12-22得票数 1
回答已采纳
我在阅读和阅读,不知道为什么要正确理解OAuth2流是如此困难,我以为我理解它,直到我想要我自己的服务器。
所以我有前端(web +移动应用,也就是资源所有者),我自己的API服务器(资源服务器),我想创建自己的OAuth2服务器。
因此,假设在用户注册时,我将它们注册在我的OAuth2服务器上,保存用户名和散列密码(我还想保存组织/项目名称,这样我就可以为多个项目使用oauth2服务器而不用担心用户名重复)
然后,前端直接使用access+refresh从OAuth2服务器获得password_grant令牌。或者我应该通过我的API来使用CLIENT_ID/CLIENT_S
浏览 1提问于2022-01-06得票数 1
1回答
我有一组由oauth 2保护的REST app,我需要从Android应用程序和set应用程序中访问它们。
从android应用程序访问API对我来说似乎是非常直接的实现。我在这里无法理解的是-从way应用程序访问相同的API的正确和安全的方法是什么?
我在想,我不应该使用某些JS库从浏览器直接调用API,因为在我看来,它是非常不安全的。相反,我应该保持所有的传统,通过向web服务器提交请求,然后让它进行REST调用。这类似于从Android发出REST调用的方法。
我的想法/方法正确吗?
浏览 5提问于2015-10-11得票数 1
回答已采纳
目前,我正在按照关于代表描述为这里的Twilio用户获取访问令牌的说明进行操作。
📷
让我感到困惑的是,它似乎生成了访问令牌,然后将其代理回客户端。我想这个想法是代表应用程序为用户制作访问令牌,但在我看来似乎并非如此。这是处理获取浏览器访问令牌的正确方法吗?什么时候可以回传访问令牌(除了ssl)有限制吗?它不应该使用刷新令牌吗?
这是一个实践中如何工作的例子--参见本例.
const token = new AccessToken(
process.env.TWILIO_ACCOUNT_SID,
process.env.TWILIO_API_KEY,
process.env.TWI
浏览 0提问于2022-06-29得票数 0
1回答
在我的公司,我们有一个SharePoint服务器和一个Active域。如果我想从SharePoint服务器获得任何信息,我必须发送以下一些凭据:
var request = (HttpWebRequest)WebRequest.Create(uri);
request.Method = "GET";
request.Credentials = CredentialCache.DefaultNetworkCredentials; // <-- credentials
var response = request.GetResponse();
这很好,没有问题,因为我信任Sh
浏览 1提问于2018-03-28得票数 2
如果你已经问过并回答了这个问题,我很抱歉;我四处看看,但没有找到我想要的东西。
--
假设我在的web应用程序在上使用一个私有的、无文档的web来获取数据,例如通过XHR或JSONP。
另外,假设这个web应用程序是匿名的-它不需要用户登录。
由于客户机和服务器之间存在通信,任何人都可以打开Fiddler等来查看确切的请求和响应,更不用说检查客户端JS代码了。
在这种情况下,如何防止某人在非web客户端应用程序中使用您的API?例如,iPhone应用程序,或服务器端。
据我理解,第2点删除了类似OAuth的选项,第3点删除了例如API密钥甚至SSL的选项。
我曾经考虑过像基
浏览 14提问于2011-03-17得票数 63
回答已采纳
2回答
问题就在这里。我在mydomain.com上有一个flash播放器(LongTailVideo播放器)。我也有mp4文件位于x.mydomain.com,y.mydomain.com等。我希望这些文件只能从MYDOMAIN.COM访问。我不希望任何其他网站访问我的视频。
播放器发出这样的请求:
有人发现了类似上面的链接,并将它们放入他/她自己的flash播放器中,现在使用我的服务器。我怎样才能避免这种情况?阻止引用并不适用于所有请求,因为有些浏览器根本不发送引用。
在每台服务器上,我们都使用apache mod_h264_streaming。有谁有主意吗?
浏览 1提问于2011-04-06得票数 1
我正在考虑在我的Net Core项目中使用API (npm package),我需要从Net Core服务器获取JavaScript密钥才能在JS中使用该API。在过去,我总是通过服务器端的C#使用外部API,所以密码和密钥之类的东西永远不会暴露给UI /浏览器客户端。 我正在研究的这个库是针对Elastic Cloud的,尽管https://www.elastic.co/guide/en/elasticsearch/client/javascript-api/current/client-connecting.html的选择并不完全与这个问题相关,因为我更感兴趣的是在使用NET Core项
浏览 9提问于2021-08-22得票数 0
回答已采纳
1回答
这是我第一次尝试处理服务器。
使用React和表达的
从服务器将令牌保存到浏览器cookie
//After login request
res.cookie('token', token, {maxAge: 3600000} ).json({ user: userDoc, message: 'message!', status: 200 });
问题在这里
如何从客户端发送令牌值以及每个API请求用于进一步的应用程序处理?
经过研究,我找到了两个选择!
选项A
//Collecting data from cookie
let token = Coo
浏览 2提问于2021-07-10得票数 0
回答已采纳
2回答
我正在创建带有ArangoDB的单页web应用程序来存储。Arango为访问和操作数据提供了非常棒的方法。其中之一是经典的JS。在客户端JS中编写直接的DB查询很容易,这将是对DB的直接查询。所以中间没有服务器应用程序。
当然,这确实是不安全的模式。因此,我应该编写某种REST完整的API服务,通过URL从服务器查询数据,然后服务器通过URL查询DB。但是这确实不方便,因为我需要编写两到三倍的代码(第一个查询用于我的服务器,第二个查询用于DB,也许需要在两个查询之间编写一些翻译器)。此外,我认为对我的服务器的API调用看起来与对DB的API调用几乎相同。
我不想完全抽象,因为应用程序应该是复杂
浏览 7提问于2015-11-05得票数 0
回答已采纳
我在Spring中有一些微服务,我的前端应用程序是角的。我正在使用OpenID连接进行身份验证和授权。现在,在我的应用程序中,在加载角应用程序时,它将用户重定向到身份验证服务器,并在登录后接收到每个HTTP请求中的角应用程序发送到资源服务器的令牌。现在我有个问题。我的微服务也彼此通信,但由于每个微服务都充当资源服务器,而其他API现在是安全的,所以微服务无法通信。我想要实现的是,用户从角度应用程序发送的请求应该包含一个令牌,这些请求应该被验证,但是我想绕过或禁用OAuth安全性,以便在微服务之间进行服务间通信。在Spring中有什么方法可以做到这一点吗?
浏览 3提问于2022-10-06得票数 1
我已经创建的应用程序接口访问从ios的app.there登录和注册页面也。当用户访问api时,通过ios代码将用户的userid作为post发送。如果用户id在数据库中匹配,则允许用户继续进行api调用,否则向用户显示“invalid request”消息。
我应该继续使用这种方法,或者当用户登录到php服务器时,我需要将用户信息存储在php会话中,而不是每次都向php发送userid,我应该从php会话中选择userid。
有没有人能帮我找出更好的理由。我发现在php服务器上维护会话没有任何用处。会话是在ios端指导的。
浏览 2提问于2014-02-10得票数 0
通过新的OAuth2.0规范(RFC6749 ),我看到隐式授权协议工作流使用Url Hash片段在授权服务器和公共客户端之间交换“access_token”。
请参阅规范:
不能将授权授权响应作为'Query Params‘而不是Url片段发送,同时保持流的其他部分不变吗?
基本上我不能理解OAuth2的规范作者选择url散列片段进行隐式授权流授权的限制?
浏览 2提问于2013-05-24得票数 32
回答已采纳
2回答
有一个主web应用程序需要从其他应用程序的服务器调用REST。我可以想出两种方法来实现这个目标:
a)。在主应用程序的前端调用APIs (Javascript)
// javascript code of master application
$.ajax(api_server1_url,{
...
})
b)。调用主应用程序服务器上的API
// backend code of master application
call_api(api_server1_url)
对于主应用程序中的进一步用户,a和b都返回json结果。
如果我能够访问上述所有应用程序的代码和服务器,选项a或选项b是更
浏览 0提问于2016-02-19得票数 3
我必须使用FCM在我的web应用程序上接收推送通知。现在,我想订阅一个特定的主题从网络应用程序。有办法这样做吗?如果是的话,这样做安全吗?
还是应该从服务器端订阅某个主题?
浏览 3提问于2019-06-03得票数 1
回答已采纳
1回答
我最近写了一个基于AJAX的小聊天程序。客户端偶尔对服务器执行ping操作,以获取新消息,并在发生更改时更新视图。很简单。
有没有可能完全在客户端做到这一点?一组加载的页面可以向其他用户标识自己并向其他客户端发送更新吗?如何做到这一点?它能完全用Javascript完成吗?
感谢你在这方面的想法!
浏览 0提问于2010-08-03得票数 1
回答已采纳
1回答
我正在使用BackboneJS构建一个消息传递应用程序,该应用程序使用REST接口自然地持久存在。
我面临的问题是,我不知道如何限制用户可以从API中提取哪些数据。例如,目前对/messages的调用将为所有用户返回消息。我希望该资源只返回属于当前用户的消息。
在线搜索似乎表明oAuth2是解决此问题的最佳方法,但所有教程讨论的内容都被重定向到另一个地方,以确认访问和检索访问令牌。
考虑到我的用户已经登录到消息应用程序中,而且REST实际上是同一个应用程序的一部分,我不喜欢让用户确认我自己的应用程序可以访问我自己的API。
有更好的办法吗?
浏览 0提问于2014-01-18得票数 0
回答已采纳
4回答
我有一个关于API调用的问题。我有一个iOS应用程序--它可以与web服务器对话。
该应用程序调用api。这些api的调用实际上使用的是http和php/js文件/函数)。
api调用(php/js)与web服务器(http)对话,并做一些db (mongo)操作以获取适当的内容。
我想了解的是,如何在iOS应用程序中硬编码密钥或auth模型,以便将通信限制在应用程序和WebServer上。
这样,就不会有人直接调用API并在db中引入垃圾。
这样,只有应用程序(从应用程序商店下载)才能与webserver/api服务器对话。
我知道这可能不是限制服务器和客
浏览 7提问于2016-08-30得票数 0
一些我不能把头绕过来的东西。据我所知,授权代码流应该比隐式流更安全,因为令牌不是直接从授权服务器发送到客户端,而是由后端检索。因此,流程基本上是:
浏览器获取授权代码(作为排序的URL参数)。将其发送到公共后端端点。后端将代码+客户端秘密发送到授权服务器,检索令牌并将其存储在客户端的cookie/本地存储中,以供进一步使用。
在这个流程中,所有教程都将授权代码描述为对黑客毫无用处,为什么呢?黑客不能使用Postman或其他客户端直接访问您的(公共) API,使其通过步骤3从而检索令牌吗?
我在这里错过了什么?
浏览 3提问于2021-06-02得票数 2
回答已采纳
我买了一个可以在移动应用程序中使用的API。API按预期包括密钥和用户名。在应用程序中,需要在付款确认时调用此API。
我发现,使用像Fiddler这样的工具,人们可以看到应用程序提出的请求。如果是这样的话,完全访问API签名只需要几秒钟的时间。
如果有人能帮助/增加这个问题,将会有很大的帮助。
我的想法:
使用服务器进行此API调用,而不是直接从应用程序调用它。
如果使用服务器,问题仍然存在,因为对服务器的API调用(最终调用购买的API)也可能被中断/访问。
如何从应用程序中保护对服务器的调用?
技术:角JS,节点JS,离子框架
浏览 2提问于2015-08-23得票数 0
回答已采纳
1回答
我有一个问题,如果可能的话,请简单地解释一下。我是新的反应本机,什么是最好的方式存储API密钥在一个安全的方式,他们不能反向工程,并立即得到密钥。只有在用户登录时,我才能使用restapi从服务器端检索它以获取apikey吗?我正在尝试将图片上传到aws存储,但我想将APIKey存储在一个很难被黑客检索的地方。另外,是否有一种方法可以通过服务器express.js(从本机反应到快速应用程序)发送图像,这样我就可以将它上传到aws存储,甚至可以在mongodb上而不是在aws存储上。
例如:
const express = require("express");
const re
浏览 3提问于2022-05-20得票数 0
回答已采纳
在OAuth 2中,客户端应用程序将授权代码交换为访问令牌。使用访问令牌,应用程序可以进行API调用。但是,我不太明白为什么OAuth 2有这个步骤;这似乎是一个额外的步骤。
我可以想到的一个原因是授权代码是通过客户端的重定向调用提供的,因此它有可能被破坏,因此它的寿命很短;而访问令牌则是服务器对服务器的访问令牌。
这是真的,但是也有应用程序发送的秘密API密钥。那么为什么不能用授权代码来做同样的事情呢?
假设没有访问令牌,只有授权代码。然后,即使有人获得了授权代码,如果OAuth服务器也检查了秘密密钥和授权代码,他们也无法做任何事情。
它应该允许OAuth服务器:
确保请求是由正确的应用
浏览 4提问于2016-05-26得票数 6
我一直在研究oAuth的Auth代码授予类型,据我所读,当您希望使令牌远离用户代理时,您将使用Auth代码授予而不是隐式授予。这使得客户端和后端-API之间的通信是安全的。但是,一旦您这样做,并且客户机拥有了与api通信所需的令牌,那么客户机和用户代理应该如何安全地通信呢?
我打算让客户端拥有用户代理可以访问的自己的API,它将使用访问令牌访问后端-API。我可以通过在用户代理和客户端服务器之间实现隐式授予oAuth来保证通信的安全,但这似乎不必要地复杂,因为您将有2层oauth。我觉得我在这里误解了什么,所以任何关于这一点的澄清都会有帮助。
浏览 0提问于2018-02-12得票数 0
回答已采纳
2回答
基于令牌的REST身份验证
、、、、
我有一个由轻量级Node.js API支持的移动应用程序。最近,我已经开始探索集成使用基于令牌的身份验证的第三方API服务。这个API是专门从我的服务器端Node.js代码中调用的,因为直接从我的移动应用程序调用它会暴露我的敏感用户名/密码信息。其他只能称为服务器端(例如,Stripe)的类似API需要使用每个请求都传入的秘密密钥进行身份验证。这种方法对我来说更有意义,因为您并没有真正想到服务器“登录”到另一个API。
因此,下面是关于访问基于令牌的API的问题:
调用这个API的最佳方法是什么?令牌的生命周期为1小时。是否应该将令牌保存在数据库中,对于每个请求,从数据库中提取令牌,检查它
浏览 2提问于2016-12-09得票数 1
回答已采纳
例如,目标http服务器是A,代理服务器(Http)是B。要直接从我的机器获得对A的响应时间很容易。但是,使用代理服务器B时,如何获取行程时间?这意味着从我的机器到B加上代理服务器B到A的旅行时间。我不知道如何做最后一部分,也就是“代理服务器B到A”。
我打算用Java来解决这个问题,有什么想法吗?
浏览 0提问于2012-07-18得票数 0
我正在尝试使用Meteor.js从客户端向集合插入新文档的两种方法之间的选择。调用Server方法或直接使用db API。
因此,我可以直接在客户机上访问db api:
MyCollection.insert(doc)
或者,我可以创建一个新的服务器方法(在/server目录下):
Meteor.methods({
createNew: function(doc) {
check(doc, etc)
var id = MyCollection.insert(doc);
return project_id;
}
});
然后从客户端调用它,如下所示:
Meteor
浏览 0提问于2014-05-26得票数 0
1回答
是否可以通过远程SSH连接(当然是连接客户端的本地文件,而不是其他客户端)访问本地文件?
具体来说,我想知道我正在开发的应用程序(它设计用于在SSH上使用,即用户连接到远程SSH服务器,脚本(用Python编写)是否可以访问本地(客户端)文件)。我想要实现一个上传系统,其中用户(连接到SSH服务器,运行脚本)可以将图像从他们的本地计算机上传到其他托管站点(不是SSH服务器本身,而是其他站点,比如imgur或pomf ( API是无关的))。因此,远程服务器需要访问本地文件,才能将文件发送到另一个远程主机服务器并返回链接。
浏览 2提问于2015-12-28得票数 0
回答已采纳
CryptoJS具有从消息和秘密密钥创建HMAC的功能。
考虑到秘密密钥必须存储在部署在客户端上的JavaScript源中,这又如何安全呢?
任何人都可以在API的原始客户端身份下获取密钥并向服务器发出类似的请求。“身份”不是HMAC应该解决的问题吗?
总之,我不明白HMAC在客户端JS中的用途,因为密钥不能保密。
在JavaScript中有计算HMAC的用例吗?
浏览 1提问于2013-08-07得票数 2
回答已采纳
1回答
REST还是什么?
、、、
我正在使用Titanium开发一个移动应用程序,服务器端是用PHP编写的。我希望应用程序从服务器获取数据并显示给用户?
什么方法对这个案子有好处?我正在考虑使用REST,但是应用程序会在用户登录之前显示数据,只需要某些部分才能首先登录。我想让它表现得怎样:
通过我仅构建的客户端应用程序从服务器获取数据,没有其他可能的访问
通过应用客户端->服务器登录用户。如何使用API进行此操作?
这个API并不是对每个人都公开的,只是我开发的应用程序而已。
浏览 0提问于2014-01-03得票数 0
我正在尝试向我的客户端的Javascript应用程序()添加Dropbox支持。据我所知,除非我的站点被托管在安全的服务器上,否则我无法进行身份验证。
由于各种原因,我很难设置HTTPS服务器,而且由于我没有使用服务器端点,我不明白为什么Dropbox/OAuth要求使用https://源URL。
我找不到对这个限制的任何引用,但是我不能在我的应用程序的Dropbox配置中配置一个非HTTPS服务器;如果不指定我的端点,客户端身份验证就会失败。
我是不是遗漏了什么?
谢谢!
浏览 16提问于2014-05-16得票数 0
回答已采纳
1回答
我正在开发与REST API和yodlee的集成,我担心安全方面的考虑,并想了解有关通过REST Api与yodlee对话的服务器的安全方面的最佳实践。
有一个以纯文本形式返回用户密码的方法,即getLoginFormCredentialsForItem()
这让我非常担心,我看到我必须将此服务器与应用程序服务器隔离。
面对这种情况,你有什么建议吗?
浏览 1提问于2013-12-05得票数 1
我想在火狐上使用SharedArrayBuffer。因此,我让我的web服务器添加交叉原产地-开放-策略和跨源-嵌入-策略在响应头根据。
当您将服务器作为本地主机访问时,它可以正常工作,但当您将服务器作为其IP地址访问时,它就无法工作。我怎么才能修好它?
Firefox的版本是83.0。
谢谢。
浏览 2提问于2020-11-19得票数 0
回答已采纳
我想建立的Android应用程序,从服务器安全下载许多文件。我想使用Google api!知道吗,当我在Google Drive sdk API或Google云存储中使用哪一个时,我搞错了?
要求:
我想安全地下载文件(20mb到40mb的Zip文件)和认证到文件服务器或云服务器。我想知道有没有可能使用google api。
我发现一些示例代码可用于 for android,但没有示例可用于Android中的Google Cloud Storage api!
任何对的指导和帮助都会对我有所帮助。
注意:我不能使用一次下载所有数据的APK扩展文件。
浏览 1提问于2013-04-12得票数 2
回答已采纳
1回答
授权代码流-用户从客户端应用程序登录,授权服务器将授权代码返回给应用程序。然后应用将授权代码交换为访问token.So,我想知道授权服务器作为授权代码发送的内容是什么?我的意思是授权代码包含哪些代码或签名?
浏览 1提问于2017-03-14得票数 0
回答已采纳
背景:我正在使用node.js和express来创建一个API。我已经在我的应用程序接口服务器中以标准的消费者/用户密钥/秘密方式实现了OAuth (与Twitter、Facebook等类似)。我希望第三方连接到我的API,同样以与这些常用API相同的方式。
通常情况下,客户端将使用应用程序令牌/密钥进行连接(例如,您作为Facebook开发人员创建了一个Facebook应用程序,并将这些应用程序提供给您)。但是,有时客户端无法为应用程序提供秘密,因为代码是以不安全的方式实现的。具体来说,我指的是Javascript库。例如,开发人员不想在Javascript代码中暴露他们的应用程序秘密,因为
浏览 0提问于2012-07-10得票数 2
回答已采纳
我想制作一个web应用程序,我唯一的成本就是为用户提供网页服务,他们的所有数据都保存到他们的Google中,这样我就不用为存储或带宽付费了。
这有可能使用谷歌硬盘吗?
我不知道怎么做到的:
如果我想直接从浏览器中保存一些东西,它需要我的应用程序的API键,而且我不能把它放在HTML中,因为它不安全.
如果我试图在网页调用我的服务器时做任何事情,那么该文件必须通过我的服务器才能到达Google.。
浏览 2提问于2021-02-25得票数 0
2回答
我希望建立一个API,我可以部署在我的服务器上,以监测系统负载。
它将报告给中央管理器服务器,该服务器运行客户端以显示信息。
我正在努力解决的问题是确保API的安全。
我想要的是客户端是唯一可以访问服务器并检索此信息的软件,但我不确定如何使用PHP来实现这一点。
我还希望能够将API和客户端分发给其他人在他们的服务器上使用,所以我不希望人们能够访问其他人的数据,如果他们也在使用API的话。
客户端也是使用MySql用PHP编写的,并且有一个安全的登录。
浏览 1提问于2013-03-14得票数 1
回答已采纳
2回答
当阅读有关使用JWT保护应用程序的信息时,通常会说客户机最初从服务器获得一个令牌,然后将此令牌连同每个请求一起发送到API。
一旦您有了令牌,这种方法就会很好地工作。据我所见,传输令牌的默认方法是使用HTTP报头,即使用作为值的标记前缀的身份验证。
但是--是否也有一种默认的方法来获得令牌呢?在示例中,您经常会看到这只是对和HTTP端点的简单请求,然后返回JSON。但是我想知道是否有更多的标准工作流,例如描述这个端点的名称,比如在OAuth2中?
有什么暗示吗?
浏览 3提问于2015-07-26得票数 6
回答已采纳
1回答
我已经阅读了 for OAuth 2.0以及很多这样的问题和博客文章,但是我仍然不清楚如何实现其中的一些东西。
目前,用户通过网页上的表单登录,并使用进行数据库调用的应用程序来获取和操作资源。目标是从应用程序中提取资源。
在OAuth 2.0的上下文中,我发现:
用户是资源所有者
我的web应用程序是客户端,特别是机密客户端。
我的API是资源服务器。
我还了解到,OAuth 2.0通过授权授权和访问令牌(至少)来工作。我想在我的授权服务器中支持密码和客户端凭据授予类型。我们还假设我的web应用程序是唯一访问API的授权应用程序。
有关资源所有者授权授予类型的实现的问题:
浏览 0提问于2015-05-06得票数 0
回答已采纳
我们需要使用ajax从公共网站(wordpress)访问sharepoint列表(只读)。什么是最好的方法?
看起来,图形api将提供我们所需的所有数据,但这需要一个用户。如果从公共网站上使用它,我们没有用户。
根据我的理解,有两种选择:
创建一个API应用程序(WebApi或类似的应用程序),并根据某个服务帐户访问图形。
在microsoft图形中直接配置匿名访问。不确定这是否有可能?
在选项2的情况下,我想我们在访问图形api时需要提供一些令牌。如何创建此令牌?
也许从客户端读取这个列表还有其他选择吗?
谢谢你的帮助
落叶松
浏览 4提问于2017-07-29得票数 0
2回答
我们需要对内部微服务进行认证吗?
、、、、
我有一个spa应用程序和三个API (A,B,C)
A,B是公共微服务,C是内部微服务。
哪条路是最好的?
1.第一条路
SpaClient
Scope = A, B, C
Spa应用程序从身份提供者那里获得SpaClient的令牌。
使用令牌从Spa应用程序调用A api、B api,使用相同的令牌调用C api。
2.第二条路
SpaClient
Scope = A, B
CClient
Scope = C
Spa应用程序从身份提供者那里获得SpaClient的令牌。
调用api、B和api,以获取CClient的令牌,并使用CClient的令牌调用Call。
在这种情况下
浏览 1提问于2019-03-07得票数 1
回答已采纳
2回答
Openstack为基于请求的编程提供了许多文档丰富的。但是,我找不到任何关于应该为每个API发送HTTP请求的URL的信息。我该把这些请求寄到哪里?我需要自己设置服务器吗?我该怎么做?我在本地集群上运行了一个完全可操作的Openstack,并且我可以正常使用CLI运行命令。
这些问题似乎很愚蠢,甚至在医生中都没有得到明确的回答。
浏览 5提问于2017-08-10得票数 1
回答已采纳
我的服务器运行在https上,但我需要能够访问只能通过http访问的外部站点(我无法控制)上的资源。
我使用了用户$resource设置
var tableDefintion = $resource('http://www.externalsite.org/xx/info.php',
{
param: '@data'
}
但是,很明显,当我提出一个资源请求时,我会得到令人恐惧的“混合内容”消息,并且它不会加载。
我尝试过将$sceDelegateProvider.resourceUrlWhi
浏览 3提问于2016-03-22得票数 0
1回答
向服务器发送Post请求服务器
、、、、
我正在创建一个web应用程序,它在服务器之间发送敏感数据。我需要将用户从网站1 (abc.com)输入的web表单数据,并将数据发布到网站2 (xyz.com/api)。网站2将捕获来自网站1的数据并对其评分,然后返回一个json响应,该响应将在网站1上的用户浏览器中发布。
这两个网站都会有https。
将使用使用Open的非对称密钥。
网站1将使用开放ssl加密所有数据与生成的公钥之前,发送和网站2将解锁数据私钥已知的网站1和2。
随着数据的传输,网站1也将发送一个签名与openssl_sign签署的私钥,并将检查与公钥在网站2。
来自网站2's api的响应将被发送回json网站1
浏览 0提问于2021-09-12得票数 0
回答已采纳
1回答
根据我对如何设置对amazon桶的安全访问的回顾,我们似乎首先生成了一个s3用户,然后绑定了一个允许s3访问该用户的安全策略。在此之后,我们可以为bucket生成API密钥,后者可以对桶访问的请求进行身份验证。这就是我的理解,如果我漏掉了什么,请纠正我。
我假设API键应该只位于服务器端( Secret Access Key)。换句话说,直接将这些放在webapp中是不安全的吗?因此,我们首先必须将数据发送到服务器,然后再使用API密钥将其发送到桶中?
有什么方法可以保证从网络应用直接访问亚马逊s3桶的安全?
进场总结
根据与@凯撒卡巴兰的讨论,这听起来像是允许这样做的方法:
1)创建一个IA
浏览 1提问于2018-04-07得票数 2
回答已采纳
1回答
我正在寻找您在身份验证中对rest api相关问题的输入。
现在想象一下下面的场景:我有一个android应用程序,它想要使用一个名为MAIN_API的公共API (我无法控制它)提供的资源,它有一个通用的API密钥。API键授予对删除记录等有风险的操作的访问权限。
现在,我希望允许应用程序的用户对API资源有非常有限的访问权限,但我希望他们能够匿名使用应用程序(没有他们自己的凭据)。
我认为解决这个问题的最佳方法是使用另一台服务器,该服务器将包含API-key,并为MAIN_API的有限访问提供手段(例如,PROXY_API将只调用简单的查询端点)。实际的移动应用程序将调用此API。出于解释
浏览 13提问于2017-02-15得票数 1
回答已采纳
1回答
我在一个网站上工作,在那里用户需要登录才能查看内容。我正在使用react作为前端,我正在使用node来开发API。我试图使用json web令牌保护我的页面,这样一旦用户登录,服务器就会给出一个jwt,前端要求让用户继续导航或以其他方式将他重定向到登录。 我知道服务器需要验证令牌,我知道我可以创建一个中间件并将其实现到我的API路由来实现这一点。但我的问题是,如果在我想要显示的页面中,我不需要调用任何API路由,我如何验证令牌? 我的意思是,我应该只创建一个路由来验证令牌吗?还是有更好的方法呢?欢迎任何建议或代码示例。
浏览 15提问于2020-08-16得票数 0
1回答
我为我的网站(称为CLMS)设计了一个受RESTful启发的API,我希望使用oauth2 (而不是oauth1)来保护它。在网上搜索之后,我想出了这个.谁能帮我检查一下,回答我的问题吗?
上下文.
我有一个多租户系统(名为CLMS),它既是授权服务器,也是资源服务器。CLMS将被特定的可信合作伙伴使用(让我们将一个例子称为3PS)。
流:
应用程序凭据
在任何合作伙伴(3PS)可以使用CLMS API之前,他们必须从CLMS带外获取唯一和机密的凭据。这些凭据包括client_id和client_secret。这些细节将用于使用OAuth 2.0协议对API调用进行身份验证。
client_i
浏览 4提问于2015-02-10得票数 0
回答已采纳
我有我的ASP.NET核心(.NET5)项目和API控制器。我想用Identity Server来保护我的API。我的目标是让一些客户访问基于client_id和client_secret的API,并在此基础上定义他们可以调用什么API。因此,我在Startup.cs中添加了以下代码
public void ConfigureServices(IServiceCollection services)
{
// ...
services.AddAuthentication(
IdentityServerAuthenticationDefaults.Authenti
浏览 4提问于2021-10-01得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
