开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在使用REST API时，如何保护用户的密码不受应用程序所有者的影响？

在使用REST API时，保护用户的密码不受应用程序所有者的影响可以通过以下几种方式：

使用加密传输：确保REST API的通信过程中使用安全的加密协议，如HTTPS，以保护数据在传输过程中的安全性。这样即使应用程序所有者能够截获通信数据，也无法获取到用户密码的明文。
使用哈希算法存储密码：在用户注册或更改密码时，应用程序所有者不应该直接存储用户的密码明文，而是使用哈希算法对密码进行加密处理，并将加密后的哈希值存储在数据库中。这样即使应用程序所有者能够访问数据库，也无法还原出用户的密码。
使用访问令牌（Access Token）：在用户登录成功后，应用程序可以颁发一个访问令牌给用户，用户在后续的API请求中使用该令牌进行身份验证。这样用户的密码就不需要在每次请求中都传输，只需传输访问令牌即可。同时，应用程序所有者只需保存用户的访问令牌，而无需保存用户的密码。
使用OAuth认证：OAuth是一种开放标准的授权协议，可以用于用户在不直接提供密码的情况下，授权第三方应用程序访问其受保护的资源。通过使用OAuth，用户可以将密码保留在授权服务器上，而不是将其提供给应用程序所有者。
强化访问控制：在应用程序中实施严格的访问控制机制，确保只有经过授权的用户才能访问受保护的API端点。这可以通过使用身份验证和授权机制，如JWT（JSON Web Token）或OAuth 2.0来实现。

腾讯云相关产品和产品介绍链接地址：

腾讯云SSL证书：https://cloud.tencent.com/product/ssl
腾讯云密钥管理系统（KMS）：https://cloud.tencent.com/product/kms
腾讯云API网关：https://cloud.tencent.com/product/apigateway
腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam

相关搜索:保护我的应用程序不受API响应的影响在控制台中保护Meteor.methods不受高级用户的影响如何使用REST API在Keycloak中创建带密码的用户？使用spring安全保护android应用程序的rest API 如何使用burp套件保护python请求中的数据不受反向工程的影响？如何使用户输入不受span元素颜色样式的影响当我有两种类型的用户时，如何使用spring安全来保护rest api 如何保护Wordpress插件使用的自定义Rest API 在使用Angular时保护API共享密钥的安全在使用REST API后端的web应用程序中强制执行密码更改如何在没有spring安全的情况下使用api密钥保护rest api 在Google Cloud中具有所有者角色的用户在使用Gmail Api时获得403 如何使用REST api - Docusign重新激活已关闭的用户？如何使用REST API为每个用户创建不同的资源严重影响在rest api中填充ManyToMany字段值的性能(使用django rest框架)避免在进入受密码保护的Wordpress站点时使用Cookie？如何将Jwt保护的Express.js Rest api与angular应用程序连接如何使用Rest API列出计入群组许可证的用户在使用REST API的基于Angular的应用程序中使用Hyperledger composer事件 400在Rest API中使用RestTemplate时的错误代码

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

OWASP Top 10关键点记录

注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。

00

OAuth 2.0初学者指南

本文概述了OAuth 2.0协议。它讨论了OAuth 2.0实现过程中涉及的不同参与者和步骤。

03

OAuth 详解<1> 什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

02

开发中需要知道的相关知识点:什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

04

GitHub 废除基于密码的 Git 身份验证

近日，代码托管平台 GitHub 于当地时间 8 月 13 日周五这天正式废除了基于密码的 Git 身份验证。从 09:00 PST （PST是北美太平洋标准时间，北京时间 14 日 0 点）开始，使用 GitHub 开发者将需要切换到基于令牌的身份验证去执行 Git 操作，基于令牌的认证包括个人接入、OAuth、SSH Key 活 GitHub App 安装令牌。

02

REST API面临的7大安全威胁

近年来，互联网上安全漏洞显著增多。互联网安全的话题也被技术博客和论坛讨论得越来越频繁:安全性非常重要，尤其是在REST API的世界中。

02

Salesforce 集成篇零基础学习（一）Connected App

https://trailhead.salesforce.com/content/learn/modules/connected-app-basics

02

6月API安全漏洞报告

为了让大家的API更加安全，致力于守护数字世界每一次网络调用，小阑给大家整理了6月份的一些API安全漏洞报告，希望大家查漏补缺及时修复自己API可能出现的漏洞。

01

[译]构建现代Web应用的安全指南

原文：Security for building modern web apps 译者：杰微刊—张迪这篇文章的灵感来自于另一篇文章，它是关于“在今天，构建Web应用之前要知道的事情”的。并不长，但遗漏了一些关于安全性的建议，所以我就此动笔，分享一些这方面的知识。本文重点是写给那些来自初创公司，并且想要从头开始开发一个Web应用的开发者，他们并不知道太多信息安全的知识，也不想花太多时间考虑其应用程序的安全性。一些重要的内容就不在这里讨论了，诸如威胁建模（threat modeling），持续交付安全（co

08

RESTful API生命周期管理

介绍应用程序编程接口（API）设计自计算机早期就已经存在 - 程序员不久之后就意识到明确定义的一组方法或功能有助于促进方案交流。虽然各种API之间的规格有所不同，但最终目标是通过利用从使用API获得的服务为程序员提供价值。像软件工程的许多其他元素一样，受管理的生命周期有利于促进API开发。 API生命周期管理由于外部API消费者的影响，需要最高程度的管理，这可能是API开发人员所不知道的。这是因为使用该API的开发人员必须依赖于在其洞察力或控制之外进行的决策。不同API的数量庞大，从专有例程到基于

07

WordPress Rank Math SEO插件任意元数据修改复现

Rank Math是一个WordPress插件，其开发人员称其为“WordPress （SEO）的瑞士军刀”，旨在帮助网站所有者通过搜索引擎优化（SEO）吸引更多流量到其网站。该插件随附一个安装向导，可通过逐步安装过程对其进行配置，并支持Google架构标记（又名Rich Rich Snippets）、关键字优化、Google Search Console集成，Google关键字排名跟踪等。

02

RBAC 和 Keto（Go RBAC 框架）

RBAC（Role-Based Access Control）是最通用的权限访问控制系统。其思想是，不直接授予具体用户各种权限，而是在用户集合和权限集合之间建立角色集合。每种角色对应一组相应的权限，一旦用户被分配适当的角色，他就拥有此角色的所有权限。这样做的好处是，不必在每次创建用户时都分配权限，只要给用户分配相应的角色即可，并且角色的权限变更比用户的权限变更要少得多，这将简化用户的权限管理，减少系统开销。

05

从协议入手，剖析OAuth2.0(译 RFC 6749)

传统的client-server授权模型，客户端通过使用凭证（通常的用户名和明文密码）访问服务端受保护的资源，为了能够让第三方应用程序访问受保护的资源，需要将凭证共享给第三方。

02

如何在Ubuntu 14.04上安装和使用BaasBox

BaasBox是一个充当数据库服务器和应用程序服务器的应用程序。开箱即用，BaasBox通过备份提供用户注册，用户管理，角色管理，内容管理，文件管理和数据库管理功能。由于所有这些功能都是通过标准HTTP REST API公开的，因此Web和移动应用程序的开发人员可以使用BaasBox作为后端来存储数据。开发人员还可以创建基于BaasBox的微服务，这些服务由其应用程序的其他部分使用。

00

对，俺差的是安全！ | 从开发角度看应用架构18

在Gartner定义的“第三平台”盛行的年代，html5大行其道。所以http方式访问的应用很多。因此，谈到应用的安全，我们先要了解http的几种认证方式。

01

有效提高java编程安全性的12条黄金法则

安全性是软件开发中最复杂，最广泛和最重要的考量之一。Java是具有许多内置安全性功能的开发平台，java在长期的发展过程中，已经经过了很多高强度的安全测试，并经常更新安全漏洞。并且Java生态系统还包括用于分析和报告安全性问题的各种工具。

02

什么是OAuth 2.0？深度解析OAuth 2.0的工作原理和应用场景

今天，我们将深入探讨一个重要的主题——OAuth 2.0。你可能曾听说过OAuth，但它到底是什么，它又有哪些部分，以及它在现代应用程序中的作用是什么？本文将全面解答这些问题，帮助你更好地理解OAuth 2.0。

04

使用AppSync为在Dell PowerFlex上运行的应用程序提供拷贝数据管理

Dell AppSync支持与Dell主存储系统的集成拷贝数据管理(iCDM)。AppSync简化并自动化了生成和使用生产数据副本的过程。通过抽象底层存储和复制技术，并通过深度应用程序集成，AppSync使应用程序所有者能够满足操作恢复和数据重新利用的复制需求。存储管理员只需关心初始设置和策略定义管理，从而形成一个敏捷、无摩擦的环境。AppSync自动发现应用程序，分析布局结构，并通过虚拟化层将其映射到底层存储设备。AppSync协调从副本创建、挂载到目标主机上进行验证、到启动或恢复应用程序副本所需的所有活动。支持的工作流程还包括刷新、过期和恢复到生产环境。

02

通过API网关缓解OWASP十大安全威胁

OWASP 每四年会发布一次 OWASP Top 10，其中描述了最关键的安全风险。这个列表是组织了解和缓解常见 Web 漏洞的起点。

01

【One by One系列】IdentityServer4（一）OAuth2.0与OpenID Connect 1.0

在微服务场景中，身份认证通常是集中处理，这也是有别于单体应用一把梭哈的模式，其中，在微软微服务白皮书中，提供了两种身份认证模式：

01

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

一，引言上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源，以及在项目中集成Swagger，并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的？本节就接着讲如何在我们的项目中集成 Azure AD 保护我们的API资源，使用其他几种授权模式进行授权认证，好了，开始今天的表演。🎉🎉🎉🎉🎉 二，正文 1，access_token的剖析！　上一篇结尾我们成功的拿到了 access_token，并且通过 access_token 验证获取到调用Api资源的

01

网络安全术语中英对照

一种网络攻击，使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。

02

区块链101:Ethereum是什么?

在你能理解ethereum之前，先了解互联网是很有帮助的。如今，我们的个人数据、密码和财务信息都主要存储在别人的电脑上——比如亚马逊(Amazon)、Facebook或谷歌等公司拥有的云服务器和服务器。甚至这个CoinDesk文章都存储在一个由公司控制的服务器上，该服务器负责保存这些数据。这种设置有许多便利之处，因为这些公司部署了专家团队来帮助存储和保护这些数据，并消除托管和正常运行时间带来的成本。但在这种便利的情况下，也存在脆弱性。正如我们所知，黑客或政府可以通过影响或攻击第三方服务而不受欢迎地

打造 API 接口的堡垒

伴随互联网革命快速创新发展，API 需求的日益剧增，针对 API 的攻击几乎遍布各个行业，据报道 2022 年全年平均每月遭受攻击的 API 数量超过 21 万，游戏、社交、电商、制造等行业依然是攻击者主要目标。例如社交软件某特，在 2021 年发生数据泄露事件，此次数据泄露影响了多达 540 万用户，产生这场“惨案” 正是攻击者利用了登录 API 端点，产生这一漏洞的原因很可能是 API 过度数据暴露以及安全配置错误（下面我会讲到）。显然无论是 API 攻击整体趋势还是对企业和用户的影响都是不容乐观的。那如何去搭建 API 接口的安全“堡垒”？下面我们将展开探讨。

01

机密Kubernetes：使用机密虚拟机和隔离环境来提升您的集群安全性

作者：Fabian Kammel (Edgeless Systems), Mikko Ylinen (Intel), Tobin Feldman-Fitzthum (IBM)

04

只需使用VS Code的REST客户端插件即可进行API调用

如果你已经做了很长时间的 Web 开发，你可能知道我们的很多工作都是围绕着数据展开的：读取数据、写入数据、操作数据，并以合理的方式在浏览器中显示出来。

02

2017 OWASP Top 10十大安全漏洞候选出炉，你怎么看？

OWASP（开放式Web应用程序安全项目）近日公布2017 OWASP Top10（十大安全漏洞列表），增加了2个新分类。背景介绍 OWASP项目最具权威的就是其"十大安全漏洞列表"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞，可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。 OWASP Top 10是啥 OWASP Top 10提供： 10大最关键Web应用安全隐患列表针对每个安全隐患，OWASP Top 10将提供：描述示例漏洞示例攻击防

06

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻，许多公司从中“学到”了他们的第一堂课：一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中，最大的教训可能是，安全性需要成为任何在线业务的首要考虑因素 - 无论规模大小。

00

Innovative Technology for CPU Based Attestation and Sealing论文翻译

Innovative Technology for CPU Based Attestation and Sealing是Intel SGX技术的官方论文，本文将翻译这篇文章。 SGX技术提供了enclave环境，当今比较火的机密计算技术一般就是基于SGX技术来实现，当然也有其他的可以提供enclave环境的技术，例如TrustZone等，但是SGX应用更多，且相比之下更安全些。

03

Linux之权限

在介绍权限之前，我要首先介绍一下shell命令以及运行原理。Linux是一个操作系统这是我们都知道是事情，但是其实我们平时并没有直接使用Linux操作系统，而是通过一个Linux核心的外壳程序也就是所谓的shell来与之沟通。那么我们为什么不直接使用kernel（核心）呢？下面将通过一个比喻来表示：

00

9月重点关注这些API漏洞

漏洞详情：Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。此次事件主要因Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

01

使用HyperForm自动配置虚拟机（第1部分）

本文介绍了如何使用HyperForm在AWS上自动配置虚拟机，以满足企业应用程序的部署需求。通过使用HyperForm，用户可以自动化虚拟机的创建和配置过程，从而提高效率和减少人为错误的可能性。本文还介绍了如何通过HyperForm在AWS上部署和管理虚拟机，以及如何使用Weave来自动化应用程序的部署和扩展。

06

Illumio | 照亮微分段

Illumio是在2020年第3季度Forrester Wave评测中排名第一的零信任厂商，而且是一个微分段厂商。笔者不清楚Illumio究竟为何意，但与Illumio形似的单词Illumination有“照亮”之意。这也正是笔者给本文取名“照亮微分段”的原因。

02

MIT 6.858 计算机系统安全讲义 2014 秋季（二）

<embed name="nacl_module" id="hello_world" width=0 height=0 src="hello_world.nmf" type="application/x-nacl" />

01

深入理解OAuth 2.0：原理、流程与实践

OAuth 2.0 允许用户授权第三方应用访问他们在另一个服务提供方上的数据，而无需分享他们的凭据（如用户名、密码）。

04

微服务：API网关在API安全中的作用

当从单体应用程序切换到微服务时，来自客户端的行为不能与以前一样，单体架构客户端只有一个入口点到应用程序。

04

OWASP低代码Top 10

低代码/无代码开发平台提供了一个通过图形用户界面创建应用软件而不是传统的手工编码计算机程序的开发环境，这种平台减少了传统手工编码的规模，从而加快了商业应用程序的交付，而随着低代码/无代码开发平台激增以及被组织广泛使用，产业界提出了一个明确而紧迫的需求，即建立依赖此类平台开发的应用程序相关的安全和隐私风险意识

02

工具系列 | HTTP API 身份验证和授权

在用户使用API发出请求之前，他们通常需要注册API密钥或学习其他方法来验证请求。

02

解读OWASP TOP 10

**原理：**将不受信任的数据作为命令或查询的一部分发送到解析器，会产生诸如sql注入、nosql注入、os注入和LADP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期的命令或的访问数据。

02

OAuth2.0概念以及实现思路简介

OAuth是一个授权规范，可以使A应用在受限的情况下访问B应用中用户的资源(前提是经过了该用户的授权，而A应用并不需要也无法知道用户在B应用中的账号和密码)，资源通常以REST API的方式暴露。

06

OAuth2.0概念以及实现思路简介

OAuth是一个授权规范，可以使A应用在受限的情况下访问B应用中用户的资源(前提是经过了该用户的授权，而A应用并不需要也无法知道用户在B应用中的账号和密码)，资源通常以REST API的方式暴露。

02

如何使用KMaaS应对多云密钥管理挑战

研究表明，云计算提供商提供的加密管理工具无法解决多云密钥管理面临的独特挑战。人们需要了解关键的管理即服务工具如何填补这一空白。

01

Spring Security入门4：各类软件技术架构中，如何保证安全性？

在架构设计中，应该考虑将安全防护机制分为多个层次，每个层次都有不同的安全措施和策略，确保全面覆盖系统的安全需求。在架构设计的早期阶段，应该对可能的威胁进行建模和分析，评估系统的风险，以便在设计中考虑相应的安全措施，在架构中加入严格的访问控制，包括身份验证、权限管理和安全策略等，确保只有授权的用户可以进行特定的操作，可以在系统中加入安全日志和监控机制，记录系统的操作和活动，及时发现和响应安全事件，以保证系统安全。

03

要用Identity Server 4 -- OAuth 2.0 超级简介

OAuth 2.0 简介 OAuth有一些定义: OAuth 2.0是一个委托协议, 它可以让那些控制资源的人允许某个应用以代表他们来访问他们控制的资源, 注意是代表这些人, 而不是假冒或模仿这些人. 这个应用从资源的所有者那里获得到授权(Authorization)和access token, 随后就可以使用这个access token来访问资源. (这里提到的假冒或模仿就是指在客户端复制一份用户名和密码，从而获取相应的权限)。 OAuth 2.0是一个开放的协议, 它允许使用简单和标准的方法从Web,

03

Identity Server 4 预备知识 -- OAuth 2.0 简介

OAuth 2.0是一个委托协议, 它可以让那些控制资源的人允许某个应用以代表他们来访问他们控制的资源, 注意是代表这些人, 而不是假冒或模仿这些人. 这个应用从资源的所有者那里获得到授权(Authorization)和access token, 随后就可以使用这个access token来访问资源.

01

Black Hat Europe分享 | AutoSpill攻击可窃取安卓密码管理器中密码

安全研究人员发现了一种新型攻击手段，并将其命名为AutoSpill，该攻击能在安卓设备上的自动填充操作过程中窃取账户凭证。

01

假面攻击（Masque Attack）详细分析与利用

一、漏洞概述近期在苹果iOS手机系统上曝光的两个漏洞，WireLurker和Masque Attack,影响了iOS目前到8.1.1 beta的最新版本，而且不受越狱和非越狱环境限制。从安全性上来看，前者WireLurker主要是窃取用户的设备标识信息，或是在越狱的环境下会安装恶意程序，盗取用户隐私数据，包括通话、短信等敏感数据。在而后者是通过使用相同的bundle ID，替换手机上已有从app store上下载安装的APP应用程序，替换后的APP可以获取该应用程序的的用户敏感数据，比如第三方邮件应

06

Spring OAuth2

授权体系设计之初主要是为了解决第三方应用登录和授权的问题，但由于其严格规范的流程定义，广泛的授权通用性，且与具体技术平台无关等诸多优点，逐渐发展成为认证和授权领域的主流技术规范。但其实

00

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭