Preguntas con etiqueta 'api'

1
respuesta

Cómo funciona el certificado de cliente para la autenticación (en la API web)

He estado trabajando en este escenario durante una semana. He implementado el código para autenticar el certificado del cliente usando este enlace: enlace . Algunas preguntas siguen ahí: ¿Cómo puedo verificar que el certificado de solici...
hecha 25.09.2015 - 11:12
1
respuesta

¿Devuelve un error 401 de una información de pérdida de API?

Estoy desarrollando una API para una aplicación en la que estoy trabajando y me he encontrado con una pregunta interesante: Imagina un punto final de API como este: GET /customers/123456 que devuelve un solo objeto de cliente. Ahora, en...
hecha 28.06.2018 - 18:35
2
respuestas

¿Qué está protegiendo realmente PKCE?

Estoy tratando de entender cómo funciona PKCE en una aplicación móvil y hay algo que no. entiendo muy bien. Entonces, de lo que puedo recopilar, la aplicación cliente crea una cadena criptográfica segura al azar conocida como el verificador...
hecha 14.12.2017 - 12:56
2
respuestas

Diferencias en el mecanismo de seguridad entre las API de Google y Amazon

¿Alguien sabe por qué las API de Google y Amazon (AWS) tienen formas diferentes de lidiar con la seguridad? Por ejemplo, Google tiene una clave API simple que puede revocar en cualquier momento, mientras que Amazon tiene este mecanismo de clave...
hecha 01.08.2016 - 22:54
1
respuesta

¿Por qué debo ocultar las claves de la API?

Necesito integrar mi aplicación de Android con Dropbox, básicamente, todo lo que quiero es que el usuario elija un archivo de su Dropbox y se lo entregue a mi aplicación. Para hacer eso estoy usando dropboxChooserSDK, y requiere una clave API pa...
hecha 31.01.2017 - 17:45
1
respuesta

¿Almacenar el token de autenticación en una cookie o encabezado?

Entiendo que un encabezado es la solución "más limpia" para transportar un token de autenticación de un sistema confiable a otro en una llamada REST. Pero cuando estás en el código JavaScript del lado del cliente, el mundo me parece diferente....
hecha 23.02.2018 - 07:43
2
respuestas

Evitar el reenvío y la repetición de ataques mediante el uso del cliente en la API REST

Tengo un backend API REST que tiene HTTPS (y HTTP bloqueado) y uso JWT como mecanismo de autenticación. El lado del cliente es la aplicación iOS / Android. Quiero agregar una capa de protección en la API crítica mediante el uso del cliente para...
hecha 03.08.2016 - 05:02
2
respuestas

¿Cómo podemos proteger las API de registro del registro de fuerza bruta?

Esta es una pregunta general, pero se debe a una API bastante abierta que tengo para un servicio de almacenamiento de archivos que necesita tener su puerta frontal mejor cerrada. Tenemos una API como POST '/signup' que solo toma un nom...
hecha 30.03.2016 - 23:21
1
respuesta

API que no permite invalidar la sesión en el lado del servidor. ¿Cómo hacerlo más seguro?

Estoy escribiendo una aplicación alrededor de una API REST que no permite que el servidor invalide una sesión, es decir, no hay un punto final como logout que haga que la cookie que está usando mi aplicación no sea válida de ahora en adel...
hecha 17.07.2015 - 15:56
1
respuesta

Validación de tipo de contenido en las API REST

Estoy tratando de envolver mi cabeza, por eso se recomienda validar el content-type , enviado por un cliente a una API REST. OWASP declara en su hoja de trucos de seguridad REST : p>    Al enviar o enviar nuevos datos, el cliente esp...
hecha 22.03.2017 - 14:19