Preguntas con etiqueta 'api'

1
respuesta

¿Es OAuth apropiado para que los clientes registrados utilicen una API privada?

Estoy desarrollando una API privada que será utilizada por los clientes registrados previamente para acceder a la información en nuestro sitio web. Estaremos almacenando sus credenciales de inicio de sesión en nuestro servidor. Al analizar cómo...
hecha 15.10.2018 - 21:54
1
respuesta

¿Cómo asegurar las API de token de actualización?

Tengo dos API utilizadas en auth : api/auth/newtoken : valida correctamente el usuario (es decir, la verificación de nombre de usuario y contraseña en la base de datos) y devuelve token (caduca en 3 días) y refreshToke...
hecha 17.11.2017 - 05:44
1
respuesta

API de CSRF y JSON

Estaba buscando una implementación CSRF para Express.js, y encontré algo que me llamó la atención, en esta publicación dice que una API JSON no es vulnerable a los ataques CRSF ... ¿es correcto? ¿no es posible falsificar una solicitud JSON para...
hecha 09.02.2017 - 18:50
2
respuestas

Usando JTWs en la implementación de OAuth

Actualmente estoy creando una api para que una aplicación se comunique. Los puntos finales de API estarán protegidos, por lo que me gustaría usar un flujo de OAuth con JWT para la seguridad. Mi flujo será algo como esto: Recibir y validar la...
hecha 23.11.2016 - 01:20
2
respuestas

Cumplimiento de PCI DSS para el cliente

Soy nuevo en PCI DSS. Estoy codificando un complemento personalizado de WordPress para un cliente nuestro que muestra un formulario en sus sitios web. Este formulario tomará el nombre del cliente, correo electrónico, número de cotización, cantid...
hecha 15.11.2016 - 16:02
2
respuestas

¿Es este un enfoque lo suficientemente bueno para asegurar una API RESTful?

Quiero usar la autenticación basada en token donde el usuario inicie sesión con una combinación de nombre de usuario y contraseña. El servidor se aseguraría de que el nombre de usuario y la contraseña coincidieran y luego devolvería un token que...
hecha 02.09.2016 - 17:46
1
respuesta

¿Cómo Zeus (y otro malware) inyecta código en otros procesos?

Recientemente, he estado estudiando cómo funciona el malware, más recientemente el famoso bot Zeus, y he notado una cosa que no entiendo: el malware se dice que puede enganchar API en los procesos. y usarlos para, por ejemplo, robar datos. Pero,...
hecha 26.01.2016 - 15:50
1
respuesta

Asegurar la API REST sin enviar o almacenar credenciales claras

Actualmente estamos diseñando una API REST y estamos pensando en protegerla. Al revisar una gran cantidad de documentación, ha quedado claro que hay 2 opciones disponibles. Autenticación HMAC Al codificar con HMAC-sha1 una serie de elemen...
hecha 13.07.2015 - 16:52
1
respuesta

Cómo evitar la actualización de un token de acceso robado

El escenario es: tienes un token de actualización que es válido por un período de tiempo más largo y un token de acceso que es válido por un período de tiempo más corto. La configuración: hay un cliente, un servidor de aplicaciones y un servi...
hecha 11.05.2018 - 09:35
1
respuesta

Uso de JWT simple para la autenticación de API orientada al público

Estoy buscando métodos de seguridad para las API. El uso de tokens de acceso JWT después del inicio de sesión del cliente con usuario / contraseña funcionará bien para las aplicaciones web internas utilizando nuestras propias API. Sin embargo, e...
hecha 19.05.2017 - 04:19