0
我目前正在爲銀行開發Rest API。在Rest API中,原則URI是唯一標識。這意味着我們必須通過在請求URL 例如資源ID:在URI中傳遞資源ID的最佳安全做法
- GET /客戶/
- PUT /客戶/
- DELETE /客戶/
但問題是,在我的由於安全原因,銀行通過傳入ID的URI。 (URI可以讀取任何一個)
有人能告訴我有沒有任何行業級的最佳實踐來克服這個安全問題,而不違反休息資源命名原則?
A
回答
1
但是由於安全原因,問題在於我的銀行在URI中禁止傳入id。 (URI可以讀取任何一個)
也就是說,如果你沒有使用TLS/SSL,這反正是在銀行等安全關鍵環境中不行的!如果有人能夠讀取您的請求,他能夠讀取您的HTTP流量,因此沒有真正的方法來保護通過此線路發送的任何可靠信息,無論是在URL中,還是在標題或內容中!
如果您無法在URI中添加任何內容,您將難以開發乾淨簡潔的restfull HTTP API!
相關問題
- 1. Codeigniter,安全搜索的最佳做法
- 2. Uri到資源ID
- 3. Django查看安全和最佳做法
- 4. elasticsearch id的最佳做法
- 5. 爲Android開發,安全的數據傳輸最佳做法
- 6. Firebase雲消息傳遞:最佳做法
- 7. REST安全設計暴露資源ID時的良好做法ID
- 8. 解決URI錯誤的最佳做法
- 9. 在PHP中安全的最佳方法?
- 10. 在ajax請求中傳遞查詢條件的最佳做法
- 11. 避免在JavaScript中傳遞大量參數的最佳做法
- 12. 制定業務層安全的方法。最佳做法/最佳模式
- 13. 清理廚師資源的「舊」版本的最佳做法
- 14. Rails嵌套資源加入安全最佳實踐
- 15. 針對多個iDevices時資源管理的最佳做法?
- 16. 多種條件下GET資源的最佳做法是什麼?
- 17. 腳本創建Azure資源的最佳做法
- 18. 將參數傳遞給一個安全的dropwizard資源
- 19. 在Android上的數據庫中存儲資源ID的最佳方法
- 20. WPF自定義控件資源最佳做法
- 21. 軌道4 [最佳做法]嵌套資源和淺:真
- 22. 你用什麼來創建drawable資源? (最佳做法)
- 23. 使用AES_ENCRYPT的最佳做法是什麼?它有多安全?
- 24. 做遞歸連接的最佳方法?
- 25. OpsWorks安裝失敗的最佳做法
- 26. 測試MSI安裝的最佳做法
- 27. 傳遞iPad上彈出式控件的值的最佳做法
- 28. 從URI或位圖獲取資源ID
- 29. 傳遞變量:使用模塊的最佳做法
- 30. 傳遞access_token進行API調用的最佳做法是什麼
你確定你被禁止將URI放入URI嗎?我知道他們不希望你傳遞任何敏感數據,如會話ID或信用卡號碼,這確實是最好的做法,由於幾個原因(請求URL登錄到客戶端,代理,也可以在監視器上看到某個時候等等)但是一般來說任何資源ID?這不會有很大的意義。 –
哇,哪家銀行? –