使用我们自己的解决方案保护现有API
我必须设计一个与提供的API交互的移动应用程序来交换数据和信息,我已经阅读了API安全、Oauth 2、令牌等等。。。。等等,但我仍然不清楚,以下是要点:使用我们自己的解决方案保护现有API,api,security,oauth-2.0,Api,Security,Oauth 2.0,我必须设计一个与提供的API交互的移动应用程序来交换数据和信息,我已经阅读了API安全、Oauth 2、令牌等等。。。。等等,但我仍然不清楚,以下是要点: 第三方提供的API为黑盒,未实现安全性, 因此,您可以查询属于任何用户的数据 用户应该使用我们的应用程序,使用用户/密码登录,并且只能访问其数据。(一定很有趣 安全,因为如果安全被破坏,我们应该付出很多) 该解决方案需要实施和自托管,而不是来自第三方或云提供商 API调用的示例: ....base url...../{subscribe
- 第三方提供的API为黑盒,未实现安全性,
因此,您可以查询属于任何用户的数据
- 用户应该使用我们的应用程序,使用用户/密码登录,并且只能访问其数据。(一定很有趣 安全,因为如果安全被破坏,我们应该付出很多)
- 该解决方案需要实施和自托管,而不是来自第三方或云提供商
....base url...../{subscriber-ID}/offers
上面的调用为ID为{subscriber ID}的订阅者获取合适的报价,因此显然,在没有安全性的情况下,我可以查询任何订阅者的报价,但我的目标是在用户/密码和仅查询与所需用户相关的数据之间建立链接
我读了很多书,但我很困惑,因为我是API安全新手。
那么我应该从哪里开始呢?在我的情况下,如何从Oauth 2中获益?只需要一个路线图,而不是如何实现。oAuth2使用spring安全性是满足这一需求的解决方案 oAuth2中有4种授权类型,适用于不同的场景