如何提高后端 urI 的安全性?
How to improve back-end urI security?
我在 ASP.NET CORE
上为我的应用程序使用网络 api
如果有人看到应用程序源代码,就会发现有一个后端 url,不是吗?
然后,如果他成功反编译我的应用程序
,那家伙就可以使用我的api
如何保护这种情况
我只是个学生,所以...只是我的好奇心
验证您的 API
如果您计划拥有私人 API(并非对所有人开放),那么您应该强制用户使用 API 访问令牌对自己进行身份验证。每个令牌都应该特定于一个特定的用户,并且分发私钥应该有后果(例如撤销它并阻止与之关联的人),否则人们会不小心分享它们。这将允许用户随心所欲地与您的服务器和 运行 命令或查询进行通信。假设你已经正确地编写了这些函数,它们不应该允许攻击者访问超出他给定范围的给定 API 函数(最多应该是查询)。
文件,文件,文件!
您不应允许用户为此访问您的源代码。您应该彻底记录您的 API 详细信息,包括用户可以使用哪些方法、它希望接收什么样的数据以及您将从中获得什么样的数据(包括所有错误、用户请求可能出现的问题) ,以及如何解决他们的请求)。确保你也对这些进行了大量测试,并确保你不能用你的 API 执行任何类型的恶意操作。将您的文档交给其他人并请他们阅读也是一个好主意。如果你错过了一些重要的事情,你会在事后知道,因为他们对 API.
的知识会有明显的差距
什么,而不是如何
用户应该知道什么一个函数应该做什么,但不知道如何它是做什么的。例如,我可以使用 /api/GetUserById。我应该知道我可以获得用户 - 我不应该知道 如何 它获得用户。我唯一需要知道的是,我执行了这个调用,我得到了一个包含用户详细信息的 json 对象。就是这样。
与我的任何帖子一样,如果我遗漏了什么或您需要进一步说明,请在评论中告诉我,我很乐意进一步解释。希望对您有所帮助
我在 ASP.NET CORE
上为我的应用程序使用网络 api如果有人看到应用程序源代码,就会发现有一个后端 url,不是吗? 然后,如果他成功反编译我的应用程序
,那家伙就可以使用我的api如何保护这种情况
我只是个学生,所以...只是我的好奇心
验证您的 API
如果您计划拥有私人 API(并非对所有人开放),那么您应该强制用户使用 API 访问令牌对自己进行身份验证。每个令牌都应该特定于一个特定的用户,并且分发私钥应该有后果(例如撤销它并阻止与之关联的人),否则人们会不小心分享它们。这将允许用户随心所欲地与您的服务器和 运行 命令或查询进行通信。假设你已经正确地编写了这些函数,它们不应该允许攻击者访问超出他给定范围的给定 API 函数(最多应该是查询)。
文件,文件,文件!
您不应允许用户为此访问您的源代码。您应该彻底记录您的 API 详细信息,包括用户可以使用哪些方法、它希望接收什么样的数据以及您将从中获得什么样的数据(包括所有错误、用户请求可能出现的问题) ,以及如何解决他们的请求)。确保你也对这些进行了大量测试,并确保你不能用你的 API 执行任何类型的恶意操作。将您的文档交给其他人并请他们阅读也是一个好主意。如果你错过了一些重要的事情,你会在事后知道,因为他们对 API.
的知识会有明显的差距什么,而不是如何
用户应该知道什么一个函数应该做什么,但不知道如何它是做什么的。例如,我可以使用 /api/GetUserById。我应该知道我可以获得用户 - 我不应该知道 如何 它获得用户。我唯一需要知道的是,我执行了这个调用,我得到了一个包含用户详细信息的 json 对象。就是这样。
与我的任何帖子一样,如果我遗漏了什么或您需要进一步说明,请在评论中告诉我,我很乐意进一步解释。希望对您有所帮助