我目前正在做一个全栈Web项目,现在正在研究API安全性。我已经实现了一个用户登录,然后允许客户端访问我的API的大多数路由。但也有一些不受保护的路由,可以而且必须在没有登录的情况下访问(例如,注册、登录等)。 例如,一个路由返回特定用户名或电子邮件地址是否已被另一个用户占用,并在注册过程中使用。对于有不良意图的人来说,这条公共路由将非常有助于找出哪些电子邮件地址或用户名应该尝试破
浏览 24提问于2020-10-09得票数 0
回答已采纳
1回答
我有一个API,它被注册在这个API中的一些网站(客户端)使用,这些客户端使用这个API来为私有和公共用户显示服务列表,而不需要任何身份验证。当客户端在API中注册时,会给出一个个人访问令牌,在使用API限制滥用该API之前,为每个请求发送该令牌。公共端访问令牌的问题是,任何人都可以拦截它,并在网站之外使用它以满足用户的愿望,这将造成很大的成本。
浏览 6提问于2022-03-03得票数 1
1回答
在开发人员发现如何执行某些请求的情况下,如何保护非公共web API不受恶意应用程序的侵害?然而,有些服务似乎允许从应用程序之外发布媒体。我假设一个雄心勃勃的<
浏览 0提问于2015-12-10得票数 3
回答已采纳
如何检查从控制器访问方法的当前用户是否经过身份验证,所讨论的API路由不受任何身份验证中间的保护,因为该路由对公共用户和两个来宾用户都是可访问的,因此我检查了我的请求标头Bearer令牌正在传递,并且正在为我的路由使用react路由器。而api驱动程序是passportRoute::get(
浏览 0提问于2020-10-20得票数 2
我正在用laravel编写应用程序,在登录到应用程序并关闭浏览器,然后重新启动应用程序后遇到问题,出现错误419BROADCAST_DRIVER=logFILESYSTEM_DRIVER=localSESSION_DOMAIN_URL=.my domainSESSION_LIFETIME=960<?php
|--
浏览 0提问于2021-12-03得票数 2
1回答
到目前为止,我假设我不需要做任何事情来保护客户机免受攻击者的攻击,也不需要对我的应用程序使用的端口进行任何操作。下面的假设说明了为什么我认为我不需要做任何事情来保护客户端。没有人可以用这个来做恶意的事情。
客户端路由器接收UDP消息。NAT创建一个随机端口(在公共端使用)并将其映射到客户端(本地)
浏览 0提问于2017-03-26得票数 1
回答已采纳
示例:公网api不需要鉴权,内网路由需要通过中间件鉴权。但是我们如何区分传入的http请求是公共的还是私有的?
浏览 13提问于2020-03-09得票数 1
回答已采纳
如何在ASP.NET Core6WebAPI中与iOS或Android等外部用户一起使用防伪令牌?我不需要对请求进行用户身份验证。该应用程序托管在另一个域上。但是,如何开发使用此Web的extern应用程序呢?问题是,我不知道如何从“外部”应用程序创建防伪令牌?如何将应用程序配置为使用带有防伪令牌的Web?
浏览 18提问于2022-01-02得票数 4
1回答
如何安全地记录用户统计信息
、、、、
对于我所做的测试,我有一个我正在写的firebase端点,这样我就可以记录用户的结果以进行分析。但是,我很难找到一种方法来保护我的端点不受恶意数据插入的影响。我的问题是:由于不涉及登录,如何确保只有我的web应用程序(测试)才能写入端点?
解决方案不一定是特定于火力基地。另一个挑战是测试托管在github上,所以所有的代码都是公开的,但是如果需要的话可以更改。但如果有人可以提供一个解决方案,可以保留
浏览 2提问于2016-01-22得票数 3
回答已采纳
1回答
没有登录页面的恶意WiFi路由器可以在未经我同意的情况下打开恶意链接,只需连接到它就可以攻击我的计算机吗?
有登录页面的呢?它可以在未经同意的情况下打开登录页面吗?我知道,为了在公共WiFis上安全,您应该使用VPN。我要问的是,在我连接到VPN之前,这种情况是否可以发生。
浏览 0提问于2022-07-30得票数 0
2回答
我正在构建一个web扩展,它将是一个公共API的包装器。目前API没有任何付费层,但是我正在尝试保护API密钥,这样它就不会被窃取并在我的应用程序之外使用。我想避免被拒绝我的许可。我现在有两个想法可以让我做这样的事情:
在网络扩展中设置API密钥,希望人们不会使用CRX查看器窃取它(不太可能)。通过web服务器代理所有API请求,并附加API密钥服务器端,通过我<
浏览 0提问于2018-03-06得票数 3
1回答
反应+路由+安全性
、、、
我正在构建一个带有React和React路由器的web应用程序,我希望使用现有的外部访问管理基础设施()来保护我的React应用程序的一些路由。我想保护 url,这意味着只有登录的用户才能访问此路由。
我有一些其他的路线是公共的,任何用户都可以打开它们,例如。访问管理保护url,如果用户希望打开受保护的url,则Access M
浏览 1提问于2016-07-11得票数 4
回答已采纳
1回答
我已经构建了一个Django API,它有很多专有的算法来分析股票投资组合。API托管在AWS中,并且此API还连接到网站,我在该网站上显示计算的指标的可视化。在我的Python库代码中,我将只公开API URL,并且将使用不同的参数和端点调用API。付费用户将在电子邮件中获得唯一的访问代码,只有他们可以使用该代码访问Python包功能。我不想公开我的Django API代码,因为分析本身需要来自数
浏览 0提问于2021-06-13得票数 0
1回答
使用axios通过api调用访问数据。现在我有了这个相对简单的任务,但我似乎找不到合适的解决方案。我希望其中一条路由可以被Vue组件轻松使用,而不需要登录,但是我不希望该路由对任何人公开可用。我说的是GET请求,而不是带有CSRF令牌的POST请求。让我加一个例子,这是我的路由:
Route::get('MyFAQS',[\App\Http\Controller
浏览 4提问于2021-12-03得票数 0
外部漏洞扫描器将我通过AWS路由53管理的域标记为没有clientDeleteProhibited、clientRenewProhibited和clientUpdateProhibited 。我是通过whois确认的:# whois.registrar.amazon.comDomain Status: clientUpdateProhibited https://icann.org/epp#clientUpda
浏览 0提问于2021-06-25得票数 2
回答已采纳
场景是用于身份验证的AngularJS 1.6.5SPA、c# WebAPI和Azure (AAD)。我使用角-ADAL库来处理身份验证,使用角路由处理路由。奇怪的是,可以匿名的路由(即,在路由定义中不需要requireADLogin: true ),但是需要转到后端(例如获取图像或从API获取数据),被ADAL拦截,并且永远不会到达后端/API。当我想要保护路由时,我<
浏览 3提问于2017-08-25得票数 0
1回答
当我创建一个未经身份验证的(公共)云运行端点来承载一个API时,我有哪些选项可以保护这个端点不被恶意用户发出数十亿的HTTP请求?请注意,如果攻击不是分布在多个云运行端点上,您可能会碰到一个和一个。
浏览 1提问于2019-04-16得票数 6
回答已采纳
我知道保护服务器应用程序接口路由的最常见方法是使用身份验证令牌,如JWT和CORS的使用。我相信使用JWT令牌保护路由的方式是让客户端在req.headers中发送服务器端签名的JWT,然后让服务器验证JWT并检查它是否被允许访问。 然而,我注意到这种方法有一个问题。这将允许他们获取JWT令牌并向服务器发送垃圾邮件请求,而服务器将无法区分它是恶意令牌还是合法令牌,并且仍然允许访问。即使使用CORS,任何人仍然可以通过
浏览 33提问于2021-08-18得票数 0
3回答
我花了几个星期的时间试图把头脑集中在JWT对象上。前提是合理的,但我感到困惑的地方是安全方面。如果我是Javascript客户端(例如Firebase),并且希望使用Open向api发送安全请求,我将用密钥加密我的消息。但是,由于客户端源可能会被查看,所以我如何保护我的密钥,这样恶意请求就不会通过。我是不是漏掉了什么。有办法保护钥匙吗?
浏览 3提问于2016-09-22得票数 3
回答已采纳
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
腾讯云开发者
