Preguntas con etiqueta 'api'

1
respuesta

¿Enviar token de acceso que no caduca en cada solicitud en lugar de usar tokens de actualización?

Al proteger las API de REST para aplicaciones móviles, lo que se ve a menudo es el uso de tokens de actualización. Existen porque: Los tokens de acceso tienen fecha de caducidad. No queremos que el usuario tenga que ingresar sus credencial...
hecha 02.05.2016 - 14:58
2
respuestas

¿Qué sucede cuando la clave secreta de la API es robada y utilizada por otros?

El uso de API pagada está aumentando cada vez más cada año. Por ejemplo, IBM, Google y Microsoft proporcionan API pagada como Text to Speech , Speech to Text y Image to Text y viceversa. Tengo una pregunta sobre lo que sucede si compilo...
hecha 06.03.2017 - 21:09
1
respuesta

¿Vale la pena verificar el nombre de host de la solicitud en las comunicaciones de API a API?

Al autenticar desde una aplicación del navegador a una capa API, puede verificar el origen de la solicitud para las solicitudes CORS. Soy consciente de que esto es principalmente para prevenir los ataques CSRF. No impide que un atacante acceda a...
hecha 10.12.2017 - 20:49
2
respuestas

JWT o claves públicas-privadas para llamadas de API de servicio a servicio

Estoy estudiando la configuración de la autenticación entre dos servicios de aplicación. El servicio A llamará al servicio B, y quiero que el servicio B solo acepte llamadas (http) del servicio A, en ningún otro lugar. Sé cómo funciona la aut...
hecha 09.03.2018 - 09:03
2
respuestas

OWASP Secure Headers for Web Services

¿Son obligatorios los siguientes encabezados para un servicio web que maneja solicitudes POST y devuelven datos usando SOAP? Seguridad de transporte estricta de HTTP (HSTS) Opciones de X-Frame X-XSS-Protection Opciones de tipo de conte...
hecha 13.11.2017 - 09:00
5
respuestas

¿Cuál es la mejor manera de asegurar sus recursos web cuando proporciona API como servicio web?

Aquí está la condición: Tengo una API de servicio web que planeo vender como servicio. La salida de la API contiene la URI de algunos recursos (por ejemplo, imágenes, videos) que deberían ser accesibles para ese tipo que usa la API. Exponer e...
hecha 23.02.2017 - 07:46
1
respuesta

Prevención de un eructo e intercepción

He creado una API de autenticación para administrar las sesiones de usuario y los trabajos. Para iniciar sesión en un usuario, el usuario envía sus credenciales a mi punto final de API y devuelve "verdadero" o "falso" según su inicio de sesión....
hecha 16.12.2017 - 20:59
2
respuestas

¿Qué debo usar para la autenticación de mi API de Django Rest?

Acabo de leer este artículo sobre por qué JWT está chupando. Ahora no estoy seguro de qué debo usar para la autenticación. Para contexto: la API que escribí se usa principalmente en aplicaciones móviles (iOS y Android). En el futuro también...
hecha 29.04.2018 - 17:16
3
respuestas

Divulgar correctamente las deficiencias de seguridad de la API privada

Espero poder orientarme sobre la manera correcta de solucionar adecuadamente las deficiencias con una API de servicio web privado (código cerrado). Inicialmente asumí que la API estaría relativamente bien implementada, así que me puse a busca...
hecha 11.01.2016 - 05:35
3
respuestas

¿Cuál es el uso de nonces en las API de HTTPS?

He utilizado API que requieren un nonce para cada solicitud. Si las solicitudes de HTTPS no son reproducibles, vea aquí enlace , ¿cuál es la razón para no requerir las API de HTTPS? ¿Es solo para garantizar que los consumidores legítimos no...
hecha 24.07.2017 - 19:33