Hacer una API segura y protegida

1

Así que tengo un sitio web. Ahora estoy haciendo una aplicación para ello. En la aplicación necesito iniciar sesión en el usuario. Así que estoy creando una API para ello.

El problema es, una vez que hago esta API. ¿Cómo podré probar los robots y qué tienes?

ejemplo. En mi sitio web tengo recaptcha de google, donde haces clic para verificar que no eres un robot y luego continúas.

¿Existe un método similar para las API?

    
pregunta Trevor Wood 06.10.2016 - 19:31
fuente

2 respuestas

2

Podrías poner el captcha en la aplicación.

  1. La aplicación solicita captcha
  2. El servidor proporciona captcha
  3. La aplicación muestra captcha y devuelve la respuesta del usuario al servidor
  4. El servidor genera el token y lo envía a la aplicación, la aplicación puede enviar ese token con cualquier solicitud
respondido por el Roshan Bhumbra 06.10.2016 - 19:46
fuente
0

Supongo que tu API está basada en REST. Eche un vistazo a la hoja de referencia de seguridad de la API REST OWASP para conocer las mejores prácticas sobre cómo proteger su API.

Como se menciona en el enlace

  

Anti-reproducción. Los atacantes cortarán y pegarán un blob y se convertirán en otra persona. Considere utilizar una clave de cifrado de tiempo limitado, codificada contra el token de sesión o la clave API, la fecha y la hora, y la dirección IP entrante. En general, implemente cierta protección del almacenamiento del cliente local del token de autenticación para mitigar los ataques de reproducción.

Es mejor usar un marco REST probado y comprobado que proporcione todas estas características de seguridad en lugar de crear las suyas propias.

    
respondido por el ARau 06.10.2016 - 21:52
fuente

Lea otras preguntas en las etiquetas