1
我使用的方法非常相似的一個實現識別API密鑰的做法,客戶端使用Web服務: http://blogs.msdn.com/b/rjacobs/archive/2010/06/14/how-to-do-api-key-verification-for-rest-services-in-net-4.aspx安全隱患
我的問題是關於安全...該服務通過了第三方公司進行的一些安全測試。他們的一個「低風險」評論(即不需要立即關注的評論)就是參數以httpget的形式傳遞。該服務純粹是爲了檢索信息。但是,apikey位於查詢字符串中......例如一個URL可能是
https://url.com/companies?company_name=searchforthiscompany&address=paris&apikey=a-long-guid
「言下之意: 當參數作爲HTTP GET請求的一部分傳遞,他們更有可能 存放在中間或其他服務器日誌文件,一個奇怪的用戶有可能看到 敏感信息,如APIKey。
建議: 如果可能,參數應作爲HTTP POST主體的一部分傳遞。
如果這是我的東西需要擔心?能夠將瀏覽器的網址切換到瀏覽器並獲取結果是很好的。你會在這種情況下更改所有使用POST的方法嗎?
任何瞭解讚賞