首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >安全API端点

安全API端点
EN

Stack Overflow用户
提问于 2020-04-13 15:42:43
回答 1查看 55关注 0票数 2

我正在构建一个返回QR代码的API。

API端点应该得到以下内容: email、client_id和client_secret。

我的API应该检查客户端的id和机密,然后加密电子邮件(和更多的数据),然后从加密的令牌生成QR代码。

我如何保护这个API,这样攻击者就不能给我发一封假邮件了?

我试图了解如何保护OAuth请求免受mitm攻击。当我读到它时,我的服务器似乎需要向OAuth提供程序发出一个https请求,包括这些数据。

我很难理解攻击者如何看不到客户端的id和机密(即使是通过使用者服务器提出的请求)。

希望能得到帮助,谢谢!

EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2020-04-14 14:40:56

如何保护OAuth请求免受mitm攻击。

若要在使用OAuth2时防止MITM攻击,必须使用TLS (https)连接。

我如何保护这个API,这样攻击者就不能给我发一封假邮件了?

为了避免伪造电子邮件,您需要验证地址,例如用用户需要交互的一次性代码发送邮件。例如OpenID连接,一种基于OAuth2的认证标准有特殊的权利通知电子邮件是否被验证。

OpenID连接已经定义了额外的索赔,以通知RP关于phone_number和电子邮件声明的验证状态。

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/61191462

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档