Preguntas con etiqueta 'rest'

1
respuesta

¿Almacenar el token de autenticación en una cookie o encabezado?

Entiendo que un encabezado es la solución "más limpia" para transportar un token de autenticación de un sistema confiable a otro en una llamada REST. Pero cuando estás en el código JavaScript del lado del cliente, el mundo me parece diferente....
hecha 23.02.2018 - 07:43
1
respuesta

seguridad REST utilizando solo la clave API y SSL

Estoy buscando construir una serie de servicios web REST simples donde: solo necesitan ser llamados por los clientes del lado del servidor (es decir, sin dispositivo móvil / javascript / desktop) solo se puede acceder a ellos mediante HTTP...
hecha 02.04.2014 - 15:29
1
respuesta

¿Recursos / materiales para implementar servicios web seguros?

Estoy implementando una API web de estilo REST (nota: debe ser más pragmática que canónica) y me gustaría asegurarla. El lenguaje que estoy usando es bastante nuevo y no tiene muchos módulos de seguridad prefabricados de alta calidad como, por e...
hecha 03.05.2013 - 21:13
2
respuestas

Evitar el reenvío y la repetición de ataques mediante el uso del cliente en la API REST

Tengo un backend API REST que tiene HTTPS (y HTTP bloqueado) y uso JWT como mecanismo de autenticación. El lado del cliente es la aplicación iOS / Android. Quiero agregar una capa de protección en la API crítica mediante el uso del cliente para...
hecha 03.08.2016 - 05:02
3
respuestas

HMAC ¿Cuál es la manera segura de distribuir el secreto compartido entre el cliente y el servidor?

Estoy buscando formas de asegurar la comunicación http mediante HMAC. Mi entendimiento es que en este escenario, tanto el cliente como el servidor conocen un secreto. Esto significa que el secreto se debe generar primero en el cliente (o en el s...
hecha 07.03.2013 - 03:43
3
respuestas

Acción de seguridad preventiva en la aplicación de Android

Actualmente, estoy desarrollando una aplicación para Android relacionada con el banco. Compartiría mis conocimientos y quizás también ustedes sean más expertos que yo para que puedan agregar sus ideas a la lista. El banco es un cliente muy es...
hecha 07.05.2014 - 06:26
1
respuesta

API que no permite invalidar la sesión en el lado del servidor. ¿Cómo hacerlo más seguro?

Estoy escribiendo una aplicación alrededor de una API REST que no permite que el servidor invalide una sesión, es decir, no hay un punto final como logout que haga que la cookie que está usando mi aplicación no sea válida de ahora en adel...
hecha 17.07.2015 - 15:56
2
respuestas

Problemas de seguridad de la API REST sin token

Estoy diseñando una API en PHP / MySQL que, por su diseño, no almacenará la contraseña de un usuario en la base de datos y, por lo tanto, no genera tokens de autorización para que el cliente los tenga. La razón de esto es para evitar cualquier p...
hecha 17.10.2013 - 00:47
1
respuesta

Validación de tipo de contenido en las API REST

Estoy tratando de envolver mi cabeza, por eso se recomienda validar el content-type , enviado por un cliente a una API REST. OWASP declara en su hoja de trucos de seguridad REST : p>    Al enviar o enviar nuevos datos, el cliente esp...
hecha 22.03.2017 - 14:19
1
respuesta

user / pass auth vs hmac firmado para REST API

Sé que ambos evitan el abuso de las API RESTful. Hmac firmado api es comúnmente utilizado que el otro. Pero creo que usar un par de usuarios / pases para la autorización es más seguridad, aquí está la razón: Para firmar una API utilizando h...
hecha 31.03.2013 - 07:44