保護REST接口

Question

當作爲JSON over HTTP公開時，保護REST接口的一般步驟是什麼？

這是我在想什麼（將使用的OAuth2認證）：在客戶端和服務器端

力HTTPS

• 消毒的投入在安全端點
• 提供CSRF保護（使用state OAuth2流中的參數）
• 在端點和客戶端之間以及端點和後端組件之間放置隊列+緩存（例如：Redis）以幫助應對可能出現的DDoS [和一般性能]
• 確保防火牆等這樣的機制已到位（Web服務器安全性）

你會如何否則建議我板條下來艙口服用前這個系統活着嗎？

Answer 1

我的觀點：

1-在整個使用HTTPS，不只是在安全端點。這將防止「中間人」類型的問題。 2 AFAIK，只有在實施「授權碼」授權類型時，您才需要CSRF保護。對於較小的DDoS攻擊，請使用類似apache的mod_evasive的東西來防止這種情況發生在Web服務器層本身，而不是去應用層。對於主要的應用程序（您可以在這幾天內租用數百/數千臺計算機的僵屍網絡），您將需要Akamai或類似的昂貴解決方案。