Api 仅使用querystring保护对REST类资源的请求/身份验证
我有一个网站,允许用户使用REST方式访问它。我想以这样一种方式来保护它,即只使用querystring来简化它。 我读过一些保护REST请求的方法,比如摘要身份验证或WSSE身份验证,但它使用了需要发送的附加头 我想要的是使用本文中描述的基于nonce的系统的非常简单的东西: 例如,然后访问用户电子邮件项目列表的urljohndoe@gmail.com将是: $nonce×tamp=$timestampApi 仅使用querystring保护对REST类资源的请求/身份验证,api,security,authentication,Api,Security,Authentication,我有一个网站,允许用户使用REST方式访问它。我想以这样一种方式来保护它,即只使用querystring来简化它。 我读过一些保护REST请求的方法,比如摘要身份验证或WSSE身份验证,但它使用了需要发送的附加头 我想要的是使用本文中描述的基于nonce的系统的非常简单的东西: 例如,然后访问用户电子邮件项目列表的urljohndoe@gmail.com将是: $nonce×tamp=$timestamp 你认为这是安全的吗?Tbh,我发现它与WSSE身份验证或摘要身份验证没有什么不同
你认为这是安全的吗?Tbh,我发现它与WSSE身份验证或摘要身份验证没有什么不同。。所以我认为它是安全的。我只是想得到一些反馈。。也许我错了,因为我对安全性和api访问不太熟悉。当然,我会通过确保nonce不被使用两次以及检查timestampSecured以防重播攻击?由于您没有使用SSL,它当然会受到窥探和其他MiTM攻击。对于没有SSL的未授权访问,您几乎无法避免MiTM攻击。事实上,我认为您的系统缺乏机密性、完整性和真实性。这对我来说似乎很不安全。摘要身份验证(Digest authentication)在不通过SSL使用时非常弱,包括密码的散列。你在问题中没有提到密码。你在用吗?