tewary_manish Ответов: 1

Каковы доступные варианты защиты webapis

Я работаю над веб-приложением, где мне нужно получить данные от стороннего поставщика. Для этого написаны REST API, которые будут извлекать данные от третьей стороны.

Мой вопрос таков: Как я могу обезопасить эти звонки? Я имею в виду, что если кто-то может получить конечную точку, то он/она получит данные, я хочу предотвратить это.

одним из ответов может быть использование аутентификации и авторизации, здесь я сначала отправлю учетные данные пользователя, и после успешной проверки будет возвращен токен, и этот токен будет передаваться в каждом последующем запросе в заголовке.

У меня есть вопрос по этому поводу: Если мне нужно передать токен в каждом запросе в заголовке, то я также могу передать учетные данные с каждым запросом. Тогда зачем нужна аутентификация, я могу легко передавать учетные данные в заголовке с каждым запросом и аутентифицироваться.

Кроме того, если кто-то может ответить, каковы другие доступные варианты защиты таких вызовов API

Спасибо

Что я уже пробовал:

Если мне нужно передать токен в каждом запросе в заголовке, то я также могу передать учетные данные с каждым запросом. Тогда зачем нужна аутентификация, я могу легко передавать учетные данные в заголовке с каждым запросом и аутентифицироваться.

1 Ответов

Рейтинг:
2

phil.o

Если вы передаете учетные данные при каждом запросе, то это означает, что сервер должен будет повторно проверять эти учетные данные каждый раз. Учитывая, что проверка учетных данных не является бесплатной с точки зрения циклов процессора и ввода-вывода, это может быть нецелесообразным решением, в зависимости от общей стоимости, которую должен обрабатывать сервер.
В то время как токен создается на основе успешной аутентификации и гарантирует, что данный клиент уже прошел процесс аутентификации. Это экономит ресурсы и время без ущерба для безопасности вашего приложения.

tewary_manish

В этом случае также токен должен быть проверен каждый раз..

phil.o

Да, но проверка токена в несколько байт, который может храниться на карте в памяти, намного быстрее, чем выполнение запроса к системе базы данных и/или в сочетании с некоторыми операциями salt & hash.

tewary_manish

Хорошо, спасибо за информацию, но все же я думаю, что это не очень хороший подход. Хранение токена в карте памяти снова будет иметь свои ограничения, если мой токен привязан ко времени. Токен также может быть взломан. В любом случае, еще раз спасибо, что развеяли мои сомнения.

Просто хотел проверить, какие еще варианты доступны, если API извлекают данные из другой базы данных поставщика, и я хочу это обезопасить.

tewary_manish

Какие еще варианты доступны для обеспечения безопасности в моем случае: я работаю над веб-приложением, где мне нужно получить данные от стороннего поставщика. Для этого написаны REST API, которые будут извлекать данные от третьей стороны.