0
我們在bluemix中部署了一個簡單的REST API應用程序。 其服務這樣/api/users/v1/{sensitive-number}/info 的問題GET請求bluemix RTR日誌,這裏列出cloud-foundry logs如何禁用bluemix/cloud-foundry應用程序中的RTR日誌
始終保持呈現在我們的例子中含有純的{敏感數}值的完整GET請求路徑,這是我們要要麼屏蔽掉或完全禁用RTR日誌。
現在,我們正在尋找一種方法,在這種情況下完全禁用RTR日誌,這可能嗎?
我還沒有發現任何文檔鏈接,允許用戶這樣做。
我會避免在此網址發送敏感數據。您可以嘗試的另一條路線是使用POST請求將敏感數據作爲表單數據發送。你可以在這裏閱讀更多:http://security.stackexchange.com/questions/29598/should-sensitive-data-ever-be-passed-in-the-query-string –
我同意你的觀點,從安全角度來看, 但是這樣做違背了RESTful做事方式,從我的在線調查來看,我認爲我們確實'在這種情況下獲取資源,而不是'在他們之後'。 有什麼我們可以做,以避免顯示在日誌中完整的URL(仍然禁用RTR日誌,對我們是一個較好的選擇 - 如果可能的話) –
是您的「敏感號」真的敏感呢?例如,如果它只是一個映射到配置文件或類似的UUID,它確實需要隱藏? 如果從這個調用返回的數據是敏感的,那麼我還建議讓用戶通過身份驗證令牌來處理他們的請求,以便知道誰在詢問這些信息。也很抱歉,我不知道如何禁用RTR日誌,我只是看到這些其他替代方案是否也可以提供幫助。 –