REST服务-应该使用什么？通过POST或pass加密帐号检索帐户信息并使用GET？

REST服务是一种基于HTTP协议的软件架构风格，用于构建分布式系统和Web服务。它是一种轻量级、可扩展、可靠、可缓存的通信机制，常用于构建云计算应用和移动应用。

对于REST服务的设计，可以使用各种编程语言和框架来实现。常见的选择包括Java的Spring框架、Python的Django框架、Node.js的Express框架等。这些框架提供了丰富的功能和工具，使得开发REST服务更加高效和便捷。

在进行账户信息的检索时，可以使用POST请求来传递加密后的账号信息，以保证数据的安全性。通过POST请求，可以将加密后的账号信息作为请求体的一部分发送给REST服务端。服务端接收到请求后，可以对账号信息进行解密，并根据解密后的信息检索相应的账户信息。

而在获取账户信息时，可以使用GET请求。GET请求是一种幂等的请求方法，适合用于获取资源的操作。通过GET请求，可以向REST服务端发送账号信息的查询请求，并获取相应的账户信息作为响应返回给客户端。

总结起来，对于REST服务的设计，可以使用各种编程语言和框架来实现。在账户信息的检索中，可以使用POST请求传递加密后的账号信息，而在获取账户信息时，可以使用GET请求。这样可以保证数据的安全性和操作的合理性。

腾讯云提供了丰富的云计算产品，其中包括云服务器、云数据库、云存储等。具体推荐的产品和产品介绍链接地址可以参考腾讯云官方网站。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

使用DDD来构建你的REST API，而不是CRUD

当然，并不是说你必须使用DDD来设计你的REST，但是，由于REST资源可以很好地映射到DDD实体，因此我发现设计REST API特别适合使用DDD。那么这是什么意思？...现在我们知道我们的业务操作是什么了，下面是将它们映射到REST API的一个例子： 1. POST /account – 开户 2....GET/account/ - 通过其帐户ID加载单个帐户。 6. GET /account//transactions- 列出帐户的交易记录。...在客户端，将变得更加的明确，什么操作可以执行，什么操作不可以执行。如果API文档记录的很好的话，例如使用Swagger来定义文档，那么每个API的限制（或约束）将变得非常明确。...因此不应该按照CRUD模型来构建你的serviceAPI（REST 或其他），而应该是使用DDD，DDD可以根据领域对象和可对其执行的业务操作来定义API。

2.1K5 0

flask 应用程序编程接口（API）最后一节

为了让你了解REST论文中的内容，以下各节将介绍 Fielding的六项原则。客户端－服务器客户端－服务器原则相当简单，预计其字面含义，在REST API中，客户端和服务器的角色应该明确区分。...这意味着，在Web开发中常见的在无状态API中，每个请求都需要包含服务器需要识别和验证客户端并执行请求的信息。这也意味着服务器无法在数据库或其他存储形式中存储与客户端连接有关的任何数据。...如果你想知道为什么REST需要无状态服务器，本质上是无状态服务器非常容易扩展，你只需在负载均衡器后面运行多个服务器实例即可。...GET请求表示客户想要检索资源信息，POST请求表示客户想要创建新资源，PUT或PATCH请求定义对现有资源的修改，DELETE表示删除资源的请求。...API中没有HTML或登录页面的概念，如果客户端发送带有无效或所有权凭证的请求，服务器必须拒绝请求并返回401状态码。

5K1 0

Ceph：关于 Ceph 用户创建认证授权管理的一些笔记

对于Ceph对象网关，安装会创建一个专用的client.rgw.hostname用户帐号，在 librados 之上创建定制软件的开发人员应该创建具有适当功能的专用帐户 client.rgw.realm.zone.serverc.bdiyfs...client.rgw.hostname 用于访问集群的帐号配置用户授权创建新用户帐户时，授予集群权限，以授权用户的集群任务，cephx 中的权限被称为能力，可以通过守护进程类型(mon、osd、mgr...要获取特定帐户的详细信息，使用ceph auth get命令: [ceph: root@node /]# ceph auth get client.admin exported keyring for...和class-write 是x的子集，你通常在 RBD 池中使用它们 * 授予完全访问权创建了 formyappl 用户帐户，并赋予了从任意池中存储和检索对象的能力： [ceph: root@node...提供预定义的功能配置文件，在创建用户帐户时，利用配置文件简化用户访问权限的配置本例通过 profile rbd 定义新的 forrbd 用户帐号的访问权限，客户端应用程序可以使用该帐户使用 RADOS

1.1K2 0

java工程师用spring boot和web3j构建以太坊区块链应用

现在，让我们创建一些其他的测试帐号，并做一些检查。为了实现这一点，我们需要在容器内部运行Geth的交互式JavaScript控制台。...现在，我们必须创建一些测试帐号。我们可以通过调用personal.newAccount(password)函数来实现这一点。...然后每10笔交易发送者的帐户收到一次奖金（bonus）。这里的图表说明了一个我们的demo的系统架构。 ? 4.spring boot应用程序使用web3j 我想现在我们清楚了我们到底想做什么。...首先，我们应该包括所有必需的依赖项，以便能够在Spring boot应用程序中使用web3j库。幸运的是，有一个starter可以使用。...在发送任何交易之前，你应该解锁发送人帐户。

1.6K1 0

TF Analytics指南丨“分析”哪些内容？如何发出“警报”？

该数据库通过类似SQL的语言和表示状态转移（REST）API进行查询。分析节点收集到的系统状态信息将汇总到所有的节点上。分析节点收集的调试信息包括以下几种类型。...与流量、CPU和内存使用情况等相关的统计信息也由分析节点收集，并可进行查询以提供历史分析和时间序列信息。查询使用REST APIs进行。分析数据会被写入到Tungsten Fabric的数据库。...作为UVE GET APIs的一部分，读取对警报的访问。使用POST请求进行警报确认。使用服务器发送的事件（SSE）进行UVE和警报流。...警报是在每个UVE的基础上发出的，可以通过在UVE上的GET来检索。 ack表示警报是否已被确认。 token用于客户端的请求确认。...Client服务器是Service Monitor和Contrail Command，后者通过REST API端口连接到分析API服务器。

1.2K0 0

REST API 设计最佳实践：如何构建、设计和使用 API ？

（操作或方法）：最常见的是GET、POST、PUT、PATCH和DELETE。...使用复数名词表示资源我们应该使用 /book/:id/ (单数) 还是 /books/:id/ (复数)？我个人建议使用复数形式。为什么？因为它非常适合所有类型的端点。...例如，如果你选择某个POST端点返回201 Created，那么对于每个POST端点都应使用相同的HTTP状态码。为什么？因为消费者不应该担心在哪种情况下哪个方法在哪个端点上会返回哪个状态码。...不要嵌套资源您可能已经注意到，REST API处理的是资源。检索资源列表或单个实例非常简单，但是，当处理相关资源时会发生什么呢？例如，假设我们想要检索特定作者（名为Cagan）的书籍列表。...您的用户可能希望检索满足特定条件的项目，或者一次只检索少量数据以提高性能，这正是过滤和分页功能所设计的目标。通过过滤，消费者可以指定返回项目应具有哪些参数（或属性）。分页允许用户逐步获取数据集。

3584 0

RESTful API

一般来说，数据库中的表都是同种记录的"集合"（collection），所以API中的名词也应该使用复数。...GET（SELECT）：从服务器取出资源（一项或多项）。即获取数据 POST（CREATE）：在服务器新建一个资源。...下面是一些例子： GET /zoos：列出所有动物园 POST /zoos：新建一个动物园 GET /zoos/ID：获取某个指定动物园的信息 PUT /zoos/ID：更新某个指定动物园的信息（提供该动物园的全部信息...200 OK - [GET]：服务器成功返回用户请求的数据，该操作是幂等的（Idempotent）。 201 CREATED - [POST/PUT/PATCH]：用户新建或修改数据成功。...400 INVALID REQUEST - [POST/PUT/PATCH]：用户发出的请求有错误，服务器没有进行新建或修改数据的操作，该操作是幂等的。

1.6K2 0

我所了解的内网渗透 - 内网渗透知识大总结

它由服务类，主机名和端口组成。在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。...域控制器（KDC）检查用户信息（登录限制，组成员身份等）并创建票证授予票证（TGT）。 TGT被加密，签名并交付给用户（AS-REP）。...使用目标服务帐户的NTLM密码散列对TGS进行加密并发送给用户（TGS-REP）。用户在适当的端口上连接到托管服务的服务器并呈现TGS（AP-REQ）。该服务使用其NTLM密码散列打开TGS票证。...其实可以说是一种后门而不是什么漏洞。黄金票据是伪造TGT，可以获取任何Kerberos的服务权限，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。...（通常为计算机账户）Hash加密认证流程不同： Golden Ticket在使用的过程需要同域控通信 Silver Ticket在使用的过程不需要同域控通信用户在适当的端口上连接到托管服务的服务器并呈现

4.2K5 0

域内提权之sAMAccountName欺骗

，例如域控制器计算机帐户，Charlie Clark是第一个通过发布详细文章说明如何将这些漏洞武器化的人在请求服务票证之前需要首先签发票证授予票证(TGT)，当为密钥分发中心 (KDC)中不存在的帐户请求服务票证时...属性恢复为其原始值或任何其他值使用S4U2self方法请求服务票证代表域管理员帐户接收服务票证下图说明了sAMAccountName模拟技术的步骤：漏洞发现 Microsoft已发布补丁以防止成功利用...0 需要访问内部网络，因此假设低权限帐户已被盗用，如上所述，机器帐户配额默认为10，因此唯一的要求是确定是否已应用补丁，这是微不足道的，可以通过为域用户帐户请求没有PAC的票证授予票证并观察base64...可以使用由Cube0x0开发的C#工具noPac直接从内存中自动复制 sAMAccountName欺骗的步骤，执行以下命令将创建一个具有指定密码的机器帐户，并获得cifs服务的服务票证，该票证将被传递到内存中...对易受攻击的域控制器执行以下命令将创建一个具有随机密码的机器帐户，以获得票证授予票证，然后机器帐户名称将重命名并使用S4U2self为属于域管理员组的管理员用户检索并保存在本地的服务票证 python3

9731 0

5个REST API安全准则

REST允许通过简单的URL（而不是复杂的请求主体或POST参数）与基于web的系统交互。...4 - 加密（1）传输中的数据除非公共信息是完全只读的，否则应强制使用TLS，特别是在执行凭证更新、删除和任何事务操作时。...当设计REST API时，不要只使用200成功或404错误。以下是每个REST API状态返回代码要考虑的一些指南。正确的错误处理可以帮助验证传入的请求，并更好地识别潜在的安全风险。...200 OK -回应一个成功的REST API的行动。HTTP方法可以是GET，POST，PUT，PATCH或DELETE。 400错误请求 -请求格式错误，如消息正文格式错误。...一些方法（例如，HEAD，GET，OPTIONS和TRACE）被定义为安全的，这意味着它们仅用于信息检索，并且不应该更改服务器的状态。在设计和构建REST API时，您必须注意安全方面。

3.7K1 0

云开发API连接器的最佳练习

鼓励服务提供商和其他读者更新其云端的API端点，以便作为开发人员的简单参考。 API操作通过API文档了解您的平台支持的API操作，并确定您想要使用的操作。...如果它是一个REST API，那么它包括一个访问密钥和一个普通密钥。可以通过使用POSTMAN，RESTClient等工具验证平台或服务的API端点进行访问。...引用云平台/服务可通过用户的帐户使用的资源增加限额。最好先了解配额限制。例如，AWS将帐户弹性IP的分配限制为5。但是，这可以通过提出请求来增加。...对于一些异步API（API响应不是即时的），响应通过PUSH提供或通过POLL检索。'Push'模型需要一个回调端点，当它可用时，它会发送响应。...一些云服务提供商/平台为每个要使用的服务开设不同的端点。建议使用API端点维护一个服务目录，以确保使用正确的服务目录。有时端点根据云平台或服务的子帐户而有所不同。

4.6K8 0

REST API 最佳实践

客户端（前端）和服务器（后端）之间的通信通常不是超级直接的。因此，我们使用一个叫作“应用编程接口”（或 API）的接口，作为客户端和服务器之间的中介。...在这篇文章中，我将带你了解创建 REST API 时需要遵循的一些最佳实践。这将帮助你创建最好的 API，并使你的 API 用户使用起来更容易。 0.什么是 REST API？...任何遵循 REST 设计原则的 API 都被称为 RESTful API。简单地说，REST API 是两台计算机通过 HTTP（超文本传输协议）进行通信的媒介，与客户端和服务器的通信方式相同。...这就是为什么你的集合应该使用复数的名词。所以，不应该是 https://mysite.com/post/123，而是 https://mysite.com/posts/123。...如果发生这种情况，从这样的数据库中检索数据可能非常缓慢。过滤、排序和分页都是可以在 REST API 的集合上执行的操作。这样只能检索、排序和排列必要的数据，并将其分页，以防服务器请求过载。

1.6K2 0

GPT动作中的数据检索

这些提供商通常提供REST API，使外部系统能够搜索和检索信息。当构建一个与提供商的REST API集成的动作时，请首先查阅现有文档。...您需要确认几件事情：检索方法搜索 - 每个提供商都支持不同的搜索语义，但通常您需要一个接受关键字或查询字符串并返回匹配文档列表的方法。请参见Google Drive的file.list方法。...获取 - 一旦找到匹配的文档，您需要一种检索它们的方法。请参见Google Drive的file.get方法。...如果选择使用服务帐户提供访问权限，请考虑给服务帐户只读权限。这可以避免意外覆盖或删除现有数据。您的目标是让GPT编写与用户提示相关的正式查询，通过动作提交查询，然后使用返回的记录来增强响应。...在这种情况下，您可能需要构建或购买中间件，该中间件可以位于您的GPT和数据库之间（有关中间件的更多信息，请参见下文）。

1121 0

【内网安全】横向移动&Kerberos攻击&SPN扫描&WinRM&WinRS&RDP

（TGT）去请求运行在服务器上的一个或多个目标服务的服务票证。...DC在活动目录中查找SPN，并使用与SPN关联的服务帐户加密票证，以便服务能够验证用户是否可以访问。...请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。...黑客将收到的TGS票据离线进行破解，即可得到目标服务帐号的HASH，这个称之为Kerberoast攻击。...如果我们有一个为域用户帐户注册的任意SPN，那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。

150 0

程序员疫苗：代码注入

在应用程序链接数据库时使用权限过大的帐户（如：很多开发人员都喜欢用sa（最高权限的系统管理员帐户）连接Microsoft SQL Server数据库）。...经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统（例如：MS SQL Server的 xp_cmdshell “net stop iisadmin”可停止服务器的IIS服务）。...现在的黑客比较坏，瘫痪系统的事，他们干的越来越少，因为没什么利益，他们希望通过获取用户的帐号信息后，转而攻击用户别的帐号，如游戏帐号，网银帐号，QQ帐号等等他们可以获利的事情（这就是为什么我希望大家在不站点上使用不同的口令...如果可能应该过滤以下字符：分号“;”，两个减号“–”，单引号“’”，注释“/* … */”。（当然，因为注入攻击一般用闭合的引号来玩，所以把引号转义了应该就没有什么问题了）更换危险字符。...它通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

7454 0

区块链一键登录：MetaMask教程(One-click Login with Blockchain: A MetaMask Tutorial)

如何使用Metamask进行一键登录流程其基本思想是通过使用私钥签署一段数据来加密证明易于证明帐户的所有权。如果您设法签署由我们的后端生成的精确数据，那么后端将认为您是该公共地址的所有者。...类似于具有过滤器参数的路由GET /api/users?publicAddress=${publicAddress}应该这样做。...我们需要先通过POST /users传递publicAddress请求主体来创建一个新帐户。另一方面，如果有结果，那么我们将其nonce存储。...这是通过nonce为该用户生成另一个随机数并将其保存到数据库来实现的。 Etvoilà！这就是我们管理无签名无密码登录流程的方式。为什么登录流程有效根据定义，身份验证实际上只是帐户所有权的证明。...以下是为什么此登录流程优于电子邮件/密码和社交登录的一系列参数：更高的安全性：通过公钥加密证明拥有权比通过电子邮件/密码或第三方进行所有权证明更安全 - 更重要的是，因为MetaMask在您的计算机本地存储凭证

7.5K2 0

利用黄金证书劫持域控

通过黄金证书执行域持久化需要以下步骤：证书提取 (CA) 伪造CA证书获取 Kerberos 票证（DC 的机器账户）执行pass票证证书提取 CA 证书和私钥存储在 CA 服务器中。...使用与系统的 RDP 连接，可以使用“ certsrv.msc ”的备份功能检索这些信息。 certsrv – 备份 CA 在证书颁发机构备份向导中，私钥和 CA 证书都可以导出到指定位置。...Seatbelt.exe Certificates Seatbelt – 本地机器 Mimikatz 还可以与加密存储进行交互，以检索和导出证书和私钥。...除了域用户帐户外，机器帐户也可用于域持久性，因为可以使用 DCSync、Pass the Ticket 和 S4U2Self 等技术。...从当前执行 Mimikatz 并运行以下命令的会话中，将检索作为域管理员帐户的用户 Administrator 的 NTLM 哈希。

1.9K3 0

Android使用OkHttp进行重定向拦截处理的方法

为什么要做这样的一个东西呢？比如说课程表的查成绩功能，就可以使用这种方法来获取成绩。大概的原理是怎样的呢？...我们先来说一下浏览器是怎么样做用户登录的：浏览器会将你输入的帐号和密码通过POST请求携带过去，当然可能还会有其它字段，因为这个POST请求是我们网页和服务器规定好的；登录成功后，服务器会返回一个Set-Cookie...请求头字段，有了Cookie浏览器就可以通过GET请求访问登录后的网页，注意没有这个Cookie是无法请求登陆后的网页的，GET请求必须设置Cookie请求头字段，将服务器返回的Cookie携带过去。...Cookie请求头字段中，然后做GET请求获取到的GET请求的响应体就是我们登陆后的网页内容了，如果是静态网页可以通过Jsoup解析自己想要的信息了我们需要通过抓包或者Chorme浏览器自带的请求查看功能来查看...我们点击(pass.asp)这个请求，然后查看它的POST的请求头(点击Headers)。 ? 我们看到了一堆的Set-Cookie字段，字段对应的内容就是我们要携带做GET请求的 ?

2.2K4 1

【linux命令讲解大全】123.SSH-Add和Useradd：管理用户和密钥的Linux命令

useradd可用来建立用户帐号。帐号建好之后，再用passwd设定帐号的密码，而可用userdel删除帐号。使用useradd指令所建立的帐号实际上是保存在/etc/passwd文本文件中。...如果未指定此选项，useradd将使用/etc/default/useradd中的HOME变量指定的基本目录，或默认使用/home。...-o, --non-unique：允许创建具有重复（非唯一）UID的用户帐户。此选项仅与-o选项结合使用时有效。 -p, --password PASSWORD：指定加密密码。...密码使用crypt(3)加密并返回。默认禁用密码。 -r, --system：创建一个系统帐户。 -s, --shell SHELL：指定用户登录的shell名称。...文件 /etc/passwd：用户帐户信息。 /etc/shadow：保护用户帐户信息。 /etc/group：组帐户信息。 /etc/gshadow：保护组帐户信息。

1241 0

详细到没朋友，一文帮你理清Linux 用户与用户组关系~

在 passwd 文件中，一行定义一个用户帐号，每行均由多个不同的字段构成，各字段值间用 ":” 分隔，每个字段均代表该帐号某方面的信息。...在刚安装完成的 linux 系统中，passwd 配置文件已有很多帐号信息了，这些帐号是由系统自动创建的，他们是 linux 进程或部分服务程序正常工作所需要使用的账户，这些账户的最后一个字段的值一般为...userdel 命令来实现，其用法为： userdel [-r] 帐户名 -r 为可选项，若带上该参数，则在删除该账户的同时，一并删除该账户对应的主目录。...[root@localhost ~]# userdel -r nsj0820 若要设置所有用户账户密码过期的时间，则可通过修改 / etc/login.defs 配置文件中的 PASS_MAX_DAYS...*声明：推送内容及图片来源于网络，部分内容会有所改动，版权归原作者所有，如来源信息有误或侵犯权益，请联系我们删除或授权事宜。

1.1K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云