Как обезопасить полезную нагрузку API REST во время транспортировки?

Question

Я пытаюсь найти способы защиты связи REST API.Рассматриваются следующие элементы:

• Включена аутентификация на основе токенов с использованием JWT
• Включена HTTPS и ограничены запросы по HTTP

Наш графический интерфейс взаимодействует с уровнем обслуживанияAPI, которые защищены, как описано выше.Все запросы от графического интерфейса пользователя содержат конфиденциальную информацию, и поэтому данные должны быть защищены в любом месте.

Короче говоря, наш графический интерфейс пользователя защищен аутентификацией на основе ролей, а API-интерфейсы защищены, как указано выше.Тем не менее, я чувствую, что связь между GUI и сервисами недостаточно безопасна.

• Достаточно ли безопасна полезная нагрузка от GUI?или полезная нагрузка также должна быть зашифрована из самого графического интерфейса?

Если это не то место, где можно задать этот вопрос, я с удовольствием перенесу его в нужное место.

Пожалуйста, совет!Заранее спасибо

Answer 1

Что я понял из поста, так это то, что ваш графический интерфейс защищен на основе ролей, а API защищен с помощью токена и https.

Помимо этого, насколько я понимаю, ваше приложение слишком чувствительно, в этом случае ясделало бы следующее, чтобы добавить дополнительный уровень безопасности.

1. Добавьте двухэтапную проверку для графического интерфейса пользователя, чтобы убедиться, что правильный человек вошел в систему все время.

2. Шифрование данных (т. Е. Полезной нагрузки) может осуществляться с использованием открытого / закрытого ключа. В этом случае необходимо немного изменить сторону сервера, так как он должен расшифровать запрос.

3. Убедитесь, что ваш токен имеет срок службы и истекает через определенное время.

Дайте мне знать, если вы ищете что-то еще.