如何在没有spring安全的情况下使用api密钥保护rest api
在没有Spring Security的情况下,可以使用API密钥来保护REST API。API密钥是一种基于密钥的身份验证机制,用于验证API请求的合法性。
以下是在没有Spring Security的情况下使用API密钥保护REST API的步骤:
- 生成API密钥:首先,需要生成一个随机的API密钥。API密钥应该是足够长且难以猜测的字符串。可以使用随机字符串生成器或者加密算法生成一个安全的API密钥。
- 密钥管理:安全地管理生成的API密钥非常重要。可以将API密钥存储在安全的密钥管理系统中,比如使用云服务提供商的密钥管理服务或者专门的密钥管理工具。
- 请求认证:在REST API的每个请求中,将API密钥作为请求的一部分发送给服务端。可以将API密钥作为请求头的一部分,比如"Authorization"头,或者作为查询参数的一部分。
- 服务器端认证:服务端接收到请求后,需要验证API密钥的有效性。可以在服务器端维护一个API密钥白名单,用于验证接收到的API密钥是否在白名单中。如果API密钥有效,则继续处理请求;否则,返回错误响应。
- 日志和审计:为了跟踪API请求的使用情况和安全性,建议在服务器端记录API请求的日志。日志可以包括请求的来源、时间戳、使用的API密钥等信息。审计这些日志可以帮助发现潜在的安全问题和异常行为。
需要注意的是,虽然API密钥提供了一定程度的安全性,但它并不能提供绝对的安全性。因此,建议在有可能的情况下,使用Spring Security等成熟的安全框架来增加API的安全性。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云密钥管理系统(KMS):提供密钥的安全管理和使用,保护数据的机密性。详情请参考:https://cloud.tencent.com/product/kms
- 腾讯云访问管理(CAM):用于管理用户和权限,包括API密钥的创建和访问控制等。详情请参考:https://cloud.tencent.com/product/cam
相关·内容
我计划在JAVA和Spring中创建一个后端应用程序,其中包含一组REST。如果这些API是由单个Android应用程序使用的,那么我是否需要使用HTTPS (SSL/TLS)、JWT令牌等来保护它们。
浏览 7提问于2022-03-29得票数 1
我有一个Spring MVC rest应用程序,需要在IBMWebPortalv8.5中部署,将使用一个脚本portlet并与部署的rest API进行交互,我的问题与安全问题有关,在只有登录到门户的用户才能看到和访问它们的情况下,我如何保护这些rest API。在门户和Spring MVC rest应用程序之间有没有可以实现的SSO技术,我不想使用Spring安全,因为它有不同的安全上下文。
浏览 1提问于2016-04-17得票数 1
我知道它的共同问题,但我没有找到适合我的要求的解决办法。很抱歉发布了类似的问题。
我们有一个web应用程序(启用了spring安全),它负责用户登录机制。然后,我们有许多其他web应用程序(启用了spring安全性),它们通过第一个application.However中的超链接访问,其他具有自己的用户名的应用程序,但我计划使用LDAP来集中用户库。如何在没有SAML的情况下实现SSO?请澄清。如果我使用SAML,那么它对我的情况会有帮助吗?
非常感谢
浏览 4提问于2014-12-24得票数 3
回答已采纳
1回答
我正在开发一个基于Spring4.3和Range4.3 (TypeScript) 4.3的客户端服务器应用程序,在CORS场景中,在生产中,服务器和客户端位于不同的域上。客户端通过http请求请求REST服务器API。
1. REST和OAUTH配置:
服务器公开REST:
@RestController
@RequestMapping("/my-api")
public class MyRestController{
@RequestMapping(value = "/test", method = RequestMethod.POST)
pu
浏览 1提问于2017-08-22得票数 13
回答已采纳
我目前正在开发Grails应用程序,其中我有使用jaxr PlugIn的REST API。场景是,有第三方谁说给我们一个网址,我们将发送通知,我创建了一个带有post方法的REST API的URL.So上的通知。所以我可以使用这个post方法发送数据。因此,我将此URL提供给第三方,第三方现在通过该URL向我发送通知。在我的REST API中的POST方法的主体中,获得通知并执行我想做的事情。
因此,我使用Spring Security Core对应用程序的其他功能进行身份验证。我并不打算保护这个我使用Jaxr PlugIn实现的REST API。但是在使用了Spring Security C
浏览 2提问于2014-09-19得票数 1
3回答
我刚刚意识到,在我的可执行文件中,特别是在JAR文件中,没有最好的方法来隐藏MySQL字符串连接密码。即使在EXE中加密它也只会减慢进程(虽然我不确定从EXE文件获得加密密码需要多长时间)。
因此,据我所知,我需要在中间的东西,可以做的添加,编辑,删除等数据库。似乎是REST或SOAP服务的工作。
我的问题是,我应该用哪一个?还是我该用点别的?我在考虑来创建那些REST。然后,我将使用Qt创建一个桌面应用程序来调用这些API。但是,如果我继续使用REST,我的应用程序将是一个3层应用程序。如果我只是创建一个web应用程序,那不是更好吗?也许我应该坚持桌面应用程序调用那些API,因为应用程序已经
浏览 11提问于2010-07-03得票数 4
回答已采纳
1回答
我们已经使用Spring创建了一个Rest API。没有实现安全性。
现在我们将使用Apigee进行API管理,它将提供各种服务,用于监控、安全等。我们的所有客户端现在应该使用Apigee调用我们的API,而不是直接在我们的服务器上调用我们的服务。
我们如何才能确保绕过Apigee是不可能的?
我猜,在我们的代码中,我们可以有一个过滤器,并使用"Access-Control-Allow-Origin“属性,类似于:
public class OurFilter implements Filter
{
public void doFilter(ServletRequest req
浏览 2提问于2016-01-23得票数 0
1回答
我注意到一些API让你将API密钥作为url参数传递,而另一些API则让你在HTTP头中传递它。我正在开发一个基于web的应用程序,它将在很大程度上依赖REST API,现在我刚刚拥有它,所以API密钥将作为url参数传递。
我的问题是,其中一个选项是否比另一个更安全?
浏览 0提问于2012-03-07得票数 7
回答已采纳
我将开发一个银行应用程序,将发送和接收信息到银行账户持有人的移动设备。我想使用Spring框架的REST api来实现这个目的。是否有使用RESTful api进行应用的银行?RESTful应用程序接口是否提供了足够的安全性来实现此目的?或者我应该坚持使用SOAP web服务?我知道,这个问题已经被问了好几次了。但我想集中讨论REST api在银行领域的可行性。
浏览 2提问于2015-03-30得票数 2
我使用spring创建了一个RESTful API。我正在发送一个作为HttpOnly的秘密密钥&带有登录响应的安全cookie。登录后,每个rest请求都会使用该cookie进行检查并每次更新。
我的网站有可能容易受到CSRF的攻击吗?我正在使用spring &Apache2.4
浏览 0提问于2014-12-23得票数 6
我用弹簧引导开发了一个应用程序,它运行得很好。这里有一个restful控制器。我试图在一些页面中添加spring安全性。rest控制器的端点是
/api/greetings
我在下面的类中配置了安全设置。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
浏览 0提问于2016-06-29得票数 10
回答已采纳
Spring boot服务公开一个REST端点,并且没有身份验证。这将在内部用于微服务内部通信。我们最近添加了Coverity安全扫描器和Getting added问题。
CID 22329 (第1个,共3个):跨站点请求伪造(CSRF)
我已经使用下面的代码禁用了CSRF。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Value("${security.enable-csrf:false}")
private boolean csr
浏览 3提问于2020-04-16得票数 0
1回答
您应该在哪里配置内容安全策略?
、、、、
我有一个angular应用程序,它根据设置与Tomcat上的REST API或Jetty上的REST API进行通信。angular-app本身托管在与war相同的tomcat/jetty上。
Tomcat安装程序前面可能有一个Apache (取决于客户端)
应用程序需要使用base64图像(通过css加载),但是现在,如果它托管在服务器上,我会得到以下错误:
Refused to load the image 'data:image/png;base64,...' because it violates the following Content Security Polic
浏览 13提问于2017-02-25得票数 5
我需要为我的应用程序的用户加密一些细节(不是密码,我正在使用 ),我需要在未来的某个时候访问这些细节,所以我需要能够解密这些细节,为此,我在我的spring boot应用程序中有以下类,我的问题是如何保护用于加密文本的密码?
import org.springframework.security.crypto.encrypt.Encryptors;
import org.springframework.security.crypto.encrypt.TextEncryptor;
public class Crypto
{
final static String password = &
浏览 0提问于2017-04-03得票数 3
1回答
弹簧引导执行器健康检查上下文路径
、、、、
我的Spring服务器上下文-path: /test
我使用nginx配置为"“基路径设置了身份验证,这个基本路径中的rest是边缘服务。
问题:我不希望我的健康服务暴露为边缘服务,并接受认证。但是执行器的健康检查是作为管理服务提供的,管理员的上下文路径没有覆盖应用程序的基本路径。
在我的应用程序中,有什么调整可以用来区分rest和执行器的健康检查api的上下文路径吗?
Dropwizard很容易做到这一点。
浏览 7提问于2017-10-16得票数 3
回答已采纳
我有两个spring boot应用程序。一个是Rest,另一个是Spring boot web MVC应用程序,它消耗剩下的部分。其余的配置了spring安全,我想从客户端应用程序登录/注销。客户端应用程序只有视图和控制器来与rest api交互。
我现在正在使用rest模板与api进行交互。
浏览 1提问于2019-12-19得票数 0
我是MEAN stack的初学者。
当调用未经验证的REST API时(不需要用户登录),API端点在JS文件中公开。我通过论坛发现,没有办法防止滥用者直接使用API端点,甚至无法使用这些端点创建自己的web/应用程序。所以我的问题是,有什么方法可以避免暴露JS文件中的端点吗?
类似地,有没有什么方法可以不在前端使用REST调用,而仍然能够在均值堆栈中为那些动态内容/API输出数据提供服务?我使用EJS。
浏览 4提问于2017-11-02得票数 1
我正在使用Nodejs、expressjs和mongoose开发一个application.Now什么是过程或方式来识别我的rest api服务的请求命中来自我的前端应用程序,而不是来自任何未知的请求。
浏览 1提问于2015-06-10得票数 0
我正在开发一个使用Java + Spring的REST服务提供商web应用程序,我想知道是否可以将我内部的身份验证和授权代码与Spring Security融合在一起?
更具体地说,我有两个方法(我喜欢保留):
User authenticate(String username, String password) { ... }
boolean authorize(User user, String resource) { ... }
在这个场景中,REST API是一个资源,第二个方法验证它是否可以被用户调用。
我的问题是,如果我切换到Spring Security,那么我是否应该向它让步,
浏览 0提问于2016-12-19得票数 0
1回答
未经授权的API访问,没有密钥头
、、、、
为了测试我的API的安全性,我想充当某种攻击者,以便尝试在没有API密钥的情况下访问我自己的API。
为了向这个端点发送请求,我需要在请求的头中包含一个32个长字符串(API key/cert)。这意味着我基本上不能强行使用API密钥,这需要很长时间。
还有哪些其他选项可供我利用和访问此端点?我的API对可能的攻击安全吗?
我所知道的“攻击者”信息是,该API运行的服务器是Microsoft/8.5,运行的是ASP.NET版本4.0.30319,这是一个REST。
浏览 0提问于2019-01-14得票数 2
回答已采纳
1回答
我看到了下面的链接,它解释了如何保护rest api。(使用公钥以及请求参数和私钥的HMAC(散列))。
我还在stackoverflow中看到了这个链接,它讨论了使用spring的rest api安全性
我在oracle weblogic网站上看到了这个链接,它讨论了使用web.xml或安全上下文等的restful api安全性
这些方法是不同的还是相关的?我也找不到任何真正做握手的代码,我完全迷惑了。请帮帮忙。
浏览 3提问于2012-06-14得票数 4
1回答
我开发了一个应用程序,前端使用AngularJS,后端使用Java。
我面临的问题是,如果用户登录到应用程序并搜索特定的数据,将有一个带有有效载荷 JSON 的API调用发送到服务器,作为响应,我们将获得与搜索参数相关的JSON数据。
这里的问题是,用户可以打开开发工具并复制API和JSON有效负载的URL,并在Postman或DHC client中发布相同的数据,并获得响应JSON,此外,他还可以更改与角色相关的数据,并获得与其他角色/用户相关的搜索结果。
我的问题是如何保护API不直接调用其他源和更改有效负载。
浏览 2提问于2017-09-04得票数 2
3回答
我有一个带有spring安全性和LDAP身份验证的spring引导web应用程序。这个web应用程序内部进行REST调用。这些REST调用具有用户名-密码身份验证。这个用户名-密码与spring安全性使用的相同。我是否可以获得由spring安全认证的用户名-密码,以便在其他调用中使用。如果不是这样的话,还有其他方法来实现这一点吗?
提前谢谢。
浏览 3提问于2016-04-20得票数 0
回答已采纳
2回答
用于web和移动客户端的
、、、、
这是我在StackOverflow上的第一个问题,我希望有人能帮我。:-)
我计划用spring构建一个web应用程序(后端)。对于后端,我将使用Spring和Hibernate/JPA。将来,我将实现一个web客户端(JSF/Primefaces)、一个移动客户端(Android)和一个Windows应用程序。使用spring,很容易创建具有域类、存储库和服务的分层体系结构。这部分很有趣。
但是现在我正在考虑远程处理,以及如何将所有客户端(web、移动、窗口)与我的后端连接起来。
( 1.)您喜欢客户端和后端之间的远程处理吗?Services或REST(例如,使用JSON).
( 2.)如果
浏览 1提问于2015-09-27得票数 1
回答已采纳
我们有一个使用Spring MVC的REST API,它不使用Spring Security或Spring Boot。rest API url为{domain}/product/rest/v1/{controller}。我们还有一个使用Struts2的常规web,它位于{domain}/product/{action}。 我们目前正在研究使用Springfox-swagger和springfox-swagger-ui自动生成API文档。使用最小配置让Swagger工作是相当容易的,但问题是Springfox在默认情况下会尝试执行CRSF令牌请求,而我们在rest API中不会使用它。我在谷歌
浏览 103提问于2019-09-20得票数 3
在Firebase中创建项目之后,自动生成多个Google平台API键:
服务器密钥(由Firebase自动创建)
Android密钥(由Firebase自动创建)
浏览器键(由Firebase自动创建)
所有的钥匙都标上"!“标牌上写着:
这个API键是不受限制的。为了防止未经授权的使用和配额盗用,限制您的密钥以限制它的使用方式。
我的理解是Firebase处理GCP配置,并且知道如何以安全的方式完成它。"Android密钥“嵌入到应用程序中,因此可以很容易地从apk中检索到。
是否需要任何额外的配置?
所授予的密钥到底是什么权限?
浏览 1提问于2019-12-08得票数 22
1回答
我一直在学习一个教程,演示如何在Javascript中构建自定义Rest,然后将其部署到Firebase函数中,然后这些函数可用于与Firestore数据库进行通信。
一切看起来都很好,但有一件事困扰着我。
我的终点之一是url-to-api/read,它获取数据库中的所有记录。如何防止任何人简单地将该url添加到浏览器中并读取所有数据。
我尝试过各种修复规则,但是似乎没有什么不同,将/read添加到API的末尾仍然显示浏览器中的所有数据。
浏览 1提问于2021-10-10得票数 0
回答已采纳
我们的堆栈包括以下服务,每个服务在一个码头容器中运行:
前端反应
基于Spring引导的后端服务“资源-服务”
凯克雅克
其他后端服务(消费者)
前端和使用者服务都使用REST与后端通信。我们使用Keycloak作为用户管理和身份验证服务。
我们希望通过为web应用程序和服务流提供服务,将基于Spring的服务“资源-服务”与Keycloak集成起来:
Web应用程序-基于反应的前端发送,应该从“资源服务”获得一个重定向302,并将用户/浏览器发送到Keycloak站点,然后返回以获取所请求的资源。
服务器2服务器联合-需要使用“资源-服务”API的服务器应该获
浏览 6提问于2020-01-06得票数 4
我正在做一个学校项目,需要计算在两个地点之间旅行所需的时间,最好是选择在android应用程序中指定交通方式。
我遇到了谷歌距离矩阵API (文档),它似乎有我正在寻找的功能,但它警告.
“如果您正在构建一个移动应用程序,您将需要引入一个代理服务器,作为移动应用程序和Google Web服务之间的中介。”
我知道这是为了保护API密钥,并希望非常努力地遵循这一点。我很好奇,有没有其他方法可以在不设置代理服务器的情况下获取应用程序所需的数据?
我知道我可以使用像Heroku这样的服务来运行访问API的代码,但考虑到这只是一个学校项目,这似乎是一个困难的选择。对于如何为我的应用程序获得旅行
浏览 0提问于2020-03-16得票数 1
回答已采纳
1回答
目前,我试图理解安全微服务的概念,并希望使用Spring和Security。
前端:通过oauth2提供者+令牌检索登录。
REST-API:请求标头+令牌验证+返回myListOfinterestingThings()
我认为Security5库是实现这种方法的好工具。这就是我尝试过的例子,但我不知道如何确保REST不会重定向到登录页面。
我是否需要依赖一个必须实现的自定义过滤器?我认为Spring和Security5的“魔力”会足够强大:D
浏览 0提问于2018-10-05得票数 1
这是一个场景。防火墙外部的用户在浏览器中执行UI操作。浏览器向系统A发出REST API调用(并在通过防火墙的入口点或其附近进行身份验证和授权)。系统A(在公司网络防火墙内)向系统B(也在公司网络防火墙内)发出REST API调用。
考虑到已经在系统A的入口点进行了身份验证和授权,从系统A到系统B的“内部”REST API调用的安全性是多少?
浏览 0提问于2013-09-12得票数 7
我一直在使用Angular.js学习,并使用作为后端服务。要将数据发布到Parse RESTful API,您可以在请求的头部传递REST键和App,如下所示:
var config = {headers: {"X-Parse-REST-API-Key":"someapikey", "X-Parse-Application-Id":"someappid"}};
$http.post("https://api.parse.com/1/classes/myobject", obj, config).success (
浏览 3提问于2013-08-06得票数 5
1回答
我在这里看到了一些类似的问题,但我觉得这个具体的问题并没有被问或回答,所以我会尽我最大的努力在这里说明我的情况。
问题是:
我正在开发的平台由一个“第三方API”函数聚合器和规范器组成,如下所示:我的用户将提供他们的API密钥,我必须存储它们。
用户需要为第三方API提供几个API密钥。
即使用户没有登录(在后台任务期间),应用程序也需要代表用户进行API调用。
当调用第三方API时,我需要这些密钥和秘密的明文形式
我的基础设施:
我目前使用Heroku (用于我的http服务器),理论上保证没有人可以通过SSH或其他方式访问我的计算机。
我的通行证只保证选定数量的用户(理想情况下使用2因素身
浏览 0提问于2017-05-29得票数 5
我正在构建一个web应用程序,它通过REST服务将服务器和客户连接在一起(我计划在中期构建一个移动应用程序)。
我在其他没有REST服务的web应用程序中使用了Security。但我不确定这种方法是否适合我的方案。
是否有可能同时使用Security访问网页和调用REST服务?你有什么推荐的?
后端使用Spring数据+ Spring。
谢谢。
浏览 4提问于2014-08-26得票数 0
回答已采纳
在Spring Cloud Config安全文档中找到了,它指出
If the remote property sources contain encrypted content (values starting with {cipher}), they are decrypted before sending to clients over HTTP
如果您通过http以明文发送消息,这不是违背了保护消息的目的吗?
如果我们使用具有正确配置的安全证书的https。解密后的属性值、数据完整性和机密性会得到保护吗?
浏览 0提问于2018-10-03得票数 1
1回答
我为我的单页应用程序安装了CSRFToken --安全性--并遇到了许多人都有过的问题。在我的web应用程序中,我把CSRFToken放在HTML中,刮掉页面以找到它,然后用它从角度发送我的登录请求,作为我的帖子中的请求头。
但是,如果我通过一个移动应用程序通过ajax访问app,那么保护app的过程是什么呢?因为我假设我需要做的是首先从移动应用程序登录,存储我的auth_token,并在随后的API调用中使用它。
这里的问题..。我是否需要在我的/login页面上抓取CSRF令牌,使用它向我的服务器发送登录请求,首先获取auth令牌?从移动应用程序中抓取HTML以获得CSRF令牌,而不是RE
浏览 4提问于2015-01-13得票数 1
回答已采纳
在我的微服务中,我将尝试实现Jwt spring安全性,但我不知道如何应用它。
在我的微服务中,我使用了2020.0.3春季云版本。在用户服务中,我使用Rest模板连接了部门服务。我需要帮助如何在这些微服务中添加Jwt安全性。
这是4个微服务
Server = Eureka服务器
service-API-gateway = Spring云Apigateway
服务部门和服务-用户=这两个微服务与Rest模板连接
微服务项目结构:
浏览 2提问于2021-07-27得票数 2
我正在尝试用Spring设置一个REST-API。为了保护它,我目前使用Spring Security oAuth2和JWT令牌。我的REST-API应用程序将把AuthorizationServer和ResourceServer融为一体。
我现在的问题是,一旦生成令牌,在重新启动我的REST-API应用程序后就不再有效。当我运行它的两个实例时也是如此。在其中一个上生成并有效的令牌在另一个上无效。
我发现JwtAccessTokenConverter的实现是在启动时随机生成一个signingKey/verifierKey。这当然解释了我的观察结果,但给我留下了一个问题:这怎么可能是无状态的?
浏览 0提问于2016-02-26得票数 1
你好,我正在开发一个Android应用程序,在这个应用程序中,我需要执行一些https web服务调用。我所有的Web服务URL和Web密钥都在代码加上服务器的IP地址中。当任何人在我的应用程序上进行反向工程时,那个家伙就可以获得我的web服务URL以及API密钥,然后就可以使用REST客户端进行攻击。
如何保护我的设置,使攻击者无法获得我在strings.xml中定义的WEB密钥
<string name="WEB_API_KEY">XXXXXXXXXXXXXXXXXXXXXXXXXXX</string>
浏览 0提问于2014-12-14得票数 1
1回答
我有几个REST服务(在spring上)被javascript文件(网站)使用,这些服务可以被任何人直接调用(您可以在任何浏览器上看到带有developper控制台的API url/参数)。因此,我想阻止对API的直接调用,当然,从我的应用程序的前端退出。
我看到我可以使用带有spring安全性的API密钥,但它可靠吗?因为我认为如果您使用developper控制台拦截消息,您可以看到密钥。
浏览 0提问于2019-06-12得票数 3
回答已采纳
我正在开发一个在spring引导应用程序中运行嵌入式密钥披风的项目(基于本文:)。我想为了某些用途访问KeycloakSession,例如,在UserResource中是一个类,它提供rest,通过用户名获取用户信息--我这样做:
@RequestMapping("/api/users")
@RestController
@Slf4j
@RequiredArgsConstructor
public class UserResource {
private final KeycloakSession session;
@Bean
public KeycloakSessi
浏览 5提问于2022-07-20得票数 0
我正在编写一个使用spring框架的Rest API,多个客户端(Web/Mobile)将使用它。在我的API中,我想知道正在访问它的客户端的信息(客户端名称)。在API中获取客户端名称的最佳实践是什么。我应该在http头还是正文中获取?
浏览 1提问于2019-11-27得票数 0
1回答
我正在使用移动应用程序和RESTful API,在注册新用户时,我对安全性有一些疑问。我正在开发一个android客户端,它将通过REST请求与后端通信。
我非常清楚OAuth授权服务器的使用和实现,以及如何在安卓客户端(前端)和资源服务器或授权服务器(后端)之间进行通信。
大多数文档提到,client_id和client_secret必须存储在服务器中,而不是移动应用程序中,以避免在最终的反编译过程中计算出这些数据。
如果我希望直接在应用程序中执行创建新用户的活动(就像snapchat、pinterest等应用程序中的情况一样),如果应用程序中没有client_id和client_secre
浏览 3提问于2016-03-07得票数 1
1回答
我得到了这个REST API,它有私有API和公共API,所以在代码中,我允许和拒绝每个API的请求。我使用这段代码:
public function allowDomain($domain) {
header('Access-Control-Allow-Origin: ' . $domain);
}
现在,经过一些研究,我不太确定这是否是一种安全的方式(因为是欺骗)。这是正确的做法,还是还有更多的东西?如果是这样,那又如何呢?
浏览 1提问于2014-10-07得票数 0
1回答
我的网站有一个由AJAX使用的REST,但我担心我当前方法的安全性:
我生成一个hmac哈希(使用唯一信息的组合),并在AJAX请求中将它连同唯一信息一起发送到REST。
然后REST生成另一个hmac,其中包含它在AJAX请求中接收到的唯一信息,并比较哈希。
如果散列相同,则返回REST数据。
这很管用,但我觉得我做得不对。散列始终保持不变,因此刮取器只需爬行站点并收集所有散列并通过REST运行。
如何更好地保护这个API,并使它与AJAX请求兼容?
浏览 3提问于2020-02-08得票数 1
因此,我一直试图使用Spring集成入站网关将一些数据发布到web服务中。得到的方法效果很好。所以我试着用POST,我传递一些字符串。试着得到一个简单的字符串。您可以检查TestService。但是每次我尝试运行测试用例时,我都会得到403个错误。我已经检查过Security和所有其他方面,但我无法理解这一点。我在谷歌上搜索了大约两天,但没有一条线索。
您可以查看链接,查看我的其他函数,这些函数都是获取方法并正常工作的。我只对帖子有这个问题!所以请帮助我知道我的代码出了什么问题!
我的integration.xml是:
<?xml version="1.0" encodi
浏览 8提问于2016-06-10得票数 2
回答已采纳
1回答
我们有一个grails/groovy应用程序,我们使用的是spring security。在调用我们的登录api并获得身份验证令牌之后,我们调用另一个api - details,我们得到以下错误。我们从android应用程序调用这些app。当我们测试postman的apis时,我们不会遇到这个问题。
2014-10-14 10:49:23,650 [qtp1955156240-20] DEBUG rest.RestAuthenticationFilter - Actual URI is /api/details; endpoint URL is /api/login
2014-10-14 1
浏览 2提问于2014-10-16得票数 1
1回答
我正在尝试创建一个博览应用程序,而不需要使用服务器作为前端和消防站之间的中间人。通过和 (参见底部),它要求通过将API键传递给以下函数来初始化云防火墙应用程序:
// Initialize Cloud Firestore through Firebase
firebase.initializeApp({
apiKey: '### FIREBASE API KEY ###',
authDomain: '### FIREBASE AUTH DOMAIN ###',
projectId: '### CLOUD FIRESTORE PROJECT
浏览 1提问于2020-03-22得票数 0
回答已采纳
我有一个应用程序,需要实现保护rest API的oauth 2。简单的流程是当用户登录时,他们应该能够访问一些受保护的资源(根据他们的角色)。 我将使用angular 7作为前端。 根据这个图表,我需要使用单页应用程序的隐式授权。 ? 现在我继续搜索,找到了https://www.devglan.com/spring-security/spring-boot-oauth2-angular API Name - Login
Method - POST
URL - oauth/login
Header - 'Authorization': 'Basic ' + b
浏览 19提问于2019-01-20得票数 1
3回答
HTTP基本身份验证与秘密密钥
、、、、
在构建了一个相当简单的API之后,我开始研究在SSL上使用用户名/密码组合的基本HTTP身份验证对于使用它的人来说可能显得很弱,尽管这里的各种讨论都表明它应该很好。
在这种情况下,我从类似的解决方案中查看API,这些解决方案为用户提供了一个用户ID和一个API密钥。问题是我看不出这有什么更强的。我假设密钥仍然保存在与密码相同的位置,在我看来,它看起来就像他们将密码称为密钥。
示例:
除了用户名密码之外,&api_key=hiperz_api_key&gs_id=3873 args如何提供更多的安全性?我肯定希望实现一些强大的东西,而不仅仅是用户/通过基本HTTP身份验证,并为
浏览 7提问于2015-09-11得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
