在使用REST API时,如何保护用户的密码不受应用程序所有者的影响?
第三方应用程序应该如何处理用户的数据?
浏览 3提问于2016-08-18得票数 0
回答已采纳
1回答
我已经为我的Android应用程序创建了rest App。所有API都使用OAuth2 (密码grant_type)进行保护。用户提供用户名&密码和服务器,验证凭据并发出access_token和refresh_token,然后可以用于调用API。
现在的问题是,API是公开的,对每个人都是开放的。如何
浏览 2提问于2017-01-06得票数 3
回答已采纳
我的服务器上运行着django应用程序。在该应用程序中,我使用django-cors-headers保护我的api不受其他来源的影响,但我通过这样做设置的api除外: 'http://localhost:3000'当我用其他来源(如ht
浏览 6提问于2021-07-05得票数 0
回答已采纳
不确定我是否正确,但让我们假设我有一个REST API和端点,例如,创建一些资源,假设使用@POST来创建用户。
如何保护我的应用程序不受那些使用10000个API调用来创建无用资源的用户的影响?我希望你明白我的意思。
浏览 3提问于2016-05-24得票数 4
1回答
在我的web应用程序中,我把CSRFToken放在HTML中,刮掉页面以找到它,然后用它从角度发送我的登录请求,作为我的帖子中的请求头。但是,如果我通过一个移动应用程序通过ajax访问app,那么保护app的过程是什么呢?因为我假设我需要做的是首先从移动应用程序登录,存储我的auth_token,并在随后的API调用中使用它。这
浏览 4提问于2015-01-13得票数 1
回答已采纳
在我的团队中,我们讨论了如何在我们的应用程序中处理http限制。
在我们的应用程序中,用户可以创建产品。因此,我们有像/products和/product/1/show这样的路线来列出和显示用户的产品。用户不能看到其他用户的产品。该应用程序使用R
浏览 1提问于2015-06-08得票数 1
1回答
我已经用sailsjs开发了一个REST,我想添加OAuth2授权来保护这个API。我对OAuth非常陌生,我不知道从哪里开始。基本上,我将有几个客户端使用我正在开发的API:-我信任的客户端,以及我想与“资源所有者凭据授权”一起使用的客户端--我不信任的客户端,它们将使用授权代码流连接
我正在考虑在sails应用程序中向客户端模型添加一个受信任
浏览 1提问于2014-04-11得票数 8
回答已采纳
我试图从 /restapi/oauth/token端点获得一个带有cURL的auth令牌,但由于错误而失败了: "error": "unauthorized_clienterrorCode": "OAU-251", }}
这就是我尝试过的:
浏览 10提问于2017-12-07得票数 2
回答已采纳
2回答
我如何保护我的REST来识别由某些用户/脚本生成的假请求,并用数百万个请求淹没我的服务器?如果有人编写了任何脚本或程序,并生成了对REST的数百万次调用,我如何才能保护我的服务不受这些请求的影响,这样我的API就不会崩溃。一种方法是,我可以使用captcha,但ca
浏览 4提问于2017-11-06得票数 0
回答已采纳
目前,我正在寻找关于安全地共享API令牌或访问令牌的指导方针,以便将第三方应用程序与我自己的应用程序集成。我目前正在考虑的两种方法是:
PGP:我可以与第三方应用程序所有者共享我们的公钥,第三方应用程序所有者可以为他们的API发送访问令牌。然而,根据我的经验,我注意到在另一端的人往往不熟悉PGP,没有时间或知识如何</e
浏览 0提问于2019-03-12得票数 0
我正在构建一个与后端交互的移动应用程序,提供REST API。大多数API都受到提供给成功登录的access_token的保护。然而,我很好奇,世界卫生组织会保护注册和登录API不受匿名调用者的影响,因为这些API不需要access_token (假设系统可以很好地处理DDOS )?使用像Kong这样的
浏览 2提问于2018-10-02得票数 1
-I在javascipt中有一个SPA应用程序。问题1
Spa应用程序使用grant_type密码向令牌端点发出ajax请求。1.这是SPA认证的正确方法吗? 2.密码授予类型正确吗?或者我需要用其他的流来保证它的安全。在oauth文档中,它写的它不应该被使用。我担心令牌的安全
浏览 3提问于2016-05-06得票数 2
回答已采纳
3回答
我已经为我的最新项目编写了一个API。它完全用PHP编写,目前支持web和移动应用程序。我们也想将其扩展到桌面应用程序,但我不太确定如何使用户能够通过桌面应用程序登录,同时仍然保护用户名和密码不受该应用程序的影响。Stackoverflow上有许多优秀的开发人员,所以给我一些精彩的答案吧!
浏览 0提问于2012-09-20得票数 0
回答已采纳
我有一个单独的前端(单页应用程序),这是利用这里的地方API自动建议功能。然而,访问这里rest API的应用程序逻辑的其余部分位于后端。这些服务位于不同的云实例上。我可以通过在HERE项目页面的“针对特定域的安全应用程序凭据”中使用前端SPA域来保护API凭据。这会从后端阻止API的
浏览 15提问于2019-03-14得票数 0
1回答
我正在通过Azure Active Directory B2C (AAD B2C)将应用程序的身份验证从自托管窗体身份验证升级到Azure Active Directory B2C(AAD B2C),并找到了几个页面,这些页面在提交事务之前重新提示用户输入密码。AAD B2C不支持资源所有者密码凭据授权流,所以我不得不寻找替代方案。我感觉就像重新提示符会迫使用户考虑事务(而不是意外地按下按钮),并保护应用程序
浏览 0提问于2019-03-09得票数 2
第四阶段的进程似乎是:
但是,在iOS和FBSDKLoginKit上,我可以直接获得一个访问令牌,而不涉及服务器。那么,第一个更复杂的<
浏览 4提问于2016-08-02得票数 0
回答已采纳
1回答
崩溃转储的明文密码保护
、、、、
我们需要使用一些API(如LogonUser、NetUseAdd和其他API)指定纯文本密码。我们可以通过在内存中对密码进行加密来保护密码,并在调用函数之前分配一个明文密码(如果是lpszPassword参数( LogonUser ),或者USE_INFO_2::ui2_username ( NetUseAdd我的问题是如何保护明文密码不受外部进程的</e
浏览 1提问于2014-10-15得票数 2
回答已采纳
我有一个OAuth安全的REST服务"Oservice“。客户端(希望访问OService)无法在服务的令牌生成器处请求令牌。我希望WSO2 ESB为客户端处理这个问题:
1) ESB应该具有一个API,该API接收来自客户端的请求,添加名称+密码,并将此请求发送给令牌生成器。2) ESB应该接收令牌,并将令牌添加到来自客户端的消息中,并将其转发给Oservice。3) Oservice接收来自ESB的消息
浏览 2提问于2014-11-06得票数 0
2回答
我们使用MD5和salt对用户密码进行散列并存储在数据库中。但盐是硬编码的代码。我在考虑U2F或HSM,但我不认为它们适合这里。我不想对每个用户使用随机/
浏览 3提问于2020-07-25得票数 0
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
