笑故挽风 2017-03-16 18:53 采纳率: 100%
浏览 33

带令牌的安全Web API

I need help to understand how to secure an API.

I am working on a project based on a RESTful API with a JSON response.

I have a web application and a mobile application which send requests like this:

http://my-server.com/api/v1/products

with a protocol (GET, POST, PUT, and DELETE) and eventually parameters.

My concern is to secure these calls, from both applications. Today I am just checking if this is an Ajax call:

$method = $_SERVER['REQUEST_METHOD'];

    if (!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest')
    {
        if ($method == 'GET')
        {
            return $data = $this->stores_model->get_all($select);
        }
    }

But mobile does not send xmlhttprequest, right?

I think I have to check a token stored in the session or locally for the mobile. I have also seen some points about the CSRF token, regenerate each time.

This is all I know about security. How do I get to understand more regarding my architecture?

  • 写回答

1条回答 默认 最新

  • weixin_33691700 2017-03-16 20:25
    关注

    This is a very deep topic, but first of all you should have SSL installed on your server. I think this is a starting point for the security.

    For your JavaScript and browser clients, you can enable cors on your API. You can get more information about cors here.

    For application clients, you can consider to implement OAuth. OAuth 2 is widely used these days, easy to implement but you can also go with OAuth 1. Check their differences and see which one suits for your project. You can find a good comparison here about them. There are good implementations of them out there, so check them out. One example for the OAuth 2.

    评论

报告相同问题?

  • .net core WebApi 文件上传服务文件下载
    2021-11-23 14:03
    在.NET Core WebAPI中,构建一个支持文件上传和下载的服务是一项常见的需求。这涉及到处理HTTP请求,存储文件,以及提供安全的文件访问机制。本文将深入探讨如何在.NET Core WebAPI项目中实现这一功能。 首先,我们...
  • webapi 项目代码及winform下调用接口
    2018-01-30 13:57
    在本项目中,"webapi 项目代码及winform下调用接口" 提供了一个完整的示例,展示如何在WinForm应用程序中调用WebAPI接口进行数据交互。 1. **WebAPI基础** - **RESTful原则**:WebAPI遵循REST(Representational ...
  • web api JWT token认证
    2020-04-24 11:20
    Web API JWT Token认证是...总结,Web API结合JWT Token认证提供了一种高效、安全的认证方式,同时跨域访问设置使得前端应用能够灵活调用API。通过理解这些概念和实现细节,开发者可以构建出健壮且易于维护的Web服务。
  • 前端(十七)——Web应用的安全性研究
    2023-09-06 14:31
    小猫娃来啦的博客 前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性...
  • 有Cosmos DB和Web API 2的Angular 6应用程序
    2021-04-09 12:19
    在这个项目中,我们聚焦于构建一个使用Angular 6前端、Cosmos DB数据库和Web API 2.0后端服务的应用程序。Angular 6是Google维护的流行JavaScript框架,用于开发高性能的单页应用(SPA)。它提供了强大的数据绑定、...
  • ASP.NET Web API and Angular 2 pdf 0分
    2016-10-14 16:19
    而Angular 2则在客户端实现了基于令牌的身份验证机制,如使用JSON Web Tokens(JWT)来确保用户身份的安全。开发者需要在设计应用程序时考虑这些安全特性,确保用户的数据安全和应用程序的完整。 最后,文档提到了...
  • webapi:应用程序的Web界面
    2021-05-20 05:34
    在本案例中,"webapi:应用程序的Web界面"指的是一个基于Web的接口,用于提供服务和作为与用户交互的前端界面。"服务中心"和"Web控制台,用于客户服务"则强调了这个Web API可能是一个面向客户的服务平台,用于提供...
  • .NET 8 Web API 中的身份验证和授权
    2024-10-28 15:48
    csdn_aspnet的博客 实现 UserService在本文中,我们将讨论如何在 .NET 8 Web API 中实现身份验证和授权。这是 .Net 8 系列的延续,所以如果你是新手,请查看我之前的文章。身份验证和授权代表着根本不同的功能。在本文中,我们将对这...
  • ASP.NET WEB API2+Owin+AngularJS实现Token验证
    2017-03-03 11:24
    在与Web API 2和Owin集成时,AngularJS可以负责发送有Token的请求,进行身份验证。客户端在获取到Token后,会在后续的API调用中将Token放入HTTP头部,服务器端则检查Token的有效性,决定是否允许访问资源。 为了...
  • AngularJsTokenAuth01:AngularJs Web 客户端根据 WebApi2WithTokenAuthentication 测试令牌身份验证
    2021-07-14 05:33
    在本文中,我们将深入探讨"AngularJsTokenAuth01"项目,这是一个使用AngularJS作为前端框架,结合WebApi2WithTokenAuthentication实现的基于令牌的身份验证系统。这个项目旨在展示如何在客户端与服务器之间安全地...
  • RESTful API:构建高效Web服务的基石
    2025-01-08 20:00
    阿珊和她的猫的博客 RESTful API是一种强大的Web服务架构方式,通过遵循资源、统一接口、无状态等核心原则,结合良好的设计要点(如版本控制、路由设计、响应状态码),并注重文档编写、测试和安全考虑,可以构建出高效、稳定、安全且...
  • 没有解决我的问题, 去提问