Question

Я предоставляю RESTful API. Этот API используется сторонним настольным приложением. В настоящее время API защищен с помощью базовой аутентификации. Это не очень безопасно, потому что учетные данные должны храниться в клиентском приложении. Связь между настольным приложением и API также может быть легко перехвачена.

Настольное приложение также обменивается данными со сторонним сервером (выполняется издателем настольного приложения)

Я не могу понять, насколько надежно защищен API. Идеи?

jro · Answer 1 · 25 мая 2010

Похоже, у вас есть две отдельные проблемы: (1) хранение учетных данных на клиенте и (2) связь со службой.

Вы можете обратиться к службе связи (и предотвратить перехват потока), используя вашу службу по SSL. Весь поток связи зашифрован.

Хранение учетных данных на клиенте находится за пределами вашего API - вы не можете контролировать то, что кто-то делает с учетными данными. Если вы также несете ответственность за развертывание и обслуживание клиента настольного компьютера, который вызывает ваш API, существуют стратегии для сохранения учетных данных на клиенте (в зависимости от ОС). В противном случае самая безопасная ставка проста - не храните учетные данные, требуйте Пользователь должен предоставить параметры uid / pwd для каждого сеанса. Опять же, все зависит от операционной системы хоста и клиентского приложения.

Сцена аутентификации для RESTful API, используемая настольным приложением

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Сцена аутентификации для RESTful API, используемая настольным приложением

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов