在设计REST API或服务时,是否存在处理安全性(身份验证,授权,身份管理)的最佳实践? 在构建SOAP API时,您可以使用WS-Security作为指导,有关该主题的文献很多。我发现了有关保护REST端点的更少信息。 尽管我了解REST故意没有类似于WS- *的规范,但我希望最佳实践或推荐模式已经出现。 任何有关文件的讨论或链接将非常感激。 如果它很重要,我们将使用WCF和POX/JSON序列化消息来构建使用.NET Framework v3.5构建的REST API/Services。

Github上有一个很棒的清单: 的验证

  • 请勿使用Basic Auth使用标准认证(例如JWTOAuth)。
  • 不要在认证,代币生成,密码存储中重新发明轮子。使用标准。
  • 在登录中使用Max Retry和jail功能。
  • 在所有敏感数据上使用加密。
  • JWT(JSON Web令牌)

    • 使用一个随机的复杂键(JWT秘密)来让暴力破解令牌变得非常困难。
    • 不要从有效负载中提取算法。在后端强制执行算法(HS256或RS256)。
    • 尽可能缩短令牌到期时间(TTLRTTL)。
    • 不要在JWT有效载荷中存储敏感数据,它可以被轻松解码。
    • 的的OAuth

      • 始终验证redirect_uri服务器端是否只允许列入白名单的网址。
      • 总是尝试交换代码而不是代币(不允许response_type=token)。
      • 使用状态参数和随机散列来防止OAuth身份验证过程中的CSRF
      • 定义默认范围,并为每个应用程序验证范围参数。
      • 使用

        • 限制请求(Throttling)以避免DDoS /强力攻击。
        • 在服务器端使用HTTPS以避免MITM(中间人攻击)
        • 使用带SSL的HSTS标头来避免SSL Strip攻击。
        • 的输入

          • 根据操作使用适当的HTTP方法:GET(读取),POST(创建),PUT/PATCH(替换/更新)和DELETE(删除记录),如果请求的方法不是,则使用405 Method Not Allowed回应适合请求的资源。
          • 根据请求验证内容类型Accept标题(内容协商)以仅允许您支持的格式(例如application/xmlapplication/json等),并在406 Not Acceptable响应中回应(如果不匹配)。
          • 按照您接受的方式验证发布数据的content-type(例如,application/x-www-form-urlencodedmultipart/form-dataapplication/json等)。
          • 验证用户输入以避免常见漏洞(例如XSS,SQL注入,远程代码执行等)。
          • 请勿在网址中使用任何敏感数据(凭据,密码,安全令牌或API密钥),但请使用标准的Authorization标头。
          • 使用API​​网关服务启用缓存,Rate Limit策略(例如配额,尖峰捕捉,并发速率限制)以及动态部署API资源。
          • 的处理

            • 检查所有端点是否在身份验证后受到保护,以避免身份验证过程中断。
            • 应该避免用户自己的资源ID。使用/ me/orders而不是/ user/654321/orders。
            • 不要自动增加ID。改为使用UUID。
            • 如果您正在解析XML文件,请确保未启用实体解析以避免XXE(XML外部实体攻击)。
            • 如果您正在解析XML文件,请确保实体展开未启用,以通过指数实体展开攻击来避免十亿笑/ XML炸弹。
            • 使用CDN进行文件上传。
            • 如果您处理大量数据,请使用工作人员和队列尽可能在后台进行处理,并快速返回响应以避免HTTP阻止。
            • 不要忘记关闭 DEBUG 模式。
            • 的输出

              • 发送X-Content-Type-Options: nosniff标头。
              • 发送X-Frame-Options: deny标头。
              • 发送Content-Security-Policy: default-src'none'标头。
              • 移除指纹标头 - X-Powered-ByServerX-AspNet-Version等。
              • 如果您返回application/json,那么您的响应内容类型为application/json
              • 强制content-type作为回应。
              • 不要传回密码,密码,安全令牌等敏感数据。
              • 根据完成的操作返回正确的状态码。 (例如200 OK400 Bad Request401 Unauthorized405 Method Not Allowed等)。
 

https://oomake.com/question/731

保护REST API/Web服务的最佳实践的更多相关文章

  1. [转]在 Azure 云服务上设计大规模服务的最佳实践

    本文转自:http://technet.microsoft.com/zh-cn/magazine/jj717232.aspx 英文版:http://msdn.microsoft.com/library ...

  2. Web前端优化最佳实践及工具集锦

    Web前端优化最佳实践及工具集锦 发表于2013-09-23 19:47| 21315次阅读| 来源Googe & Yahoo| 118 条评论| 作者王果 编译 Web优化Google雅虎P ...

  3. 从Uber微服务看最佳实践如何炼成?

    导读:Uber成长非常迅速,工程师团队快速扩充,据说Uber有2000名工程师,8000个代码仓库,部署了1000多个微服务.微服务架构是Uber应对技术团队快速增长,功能快速上线很出色的解决方案.本 ...

  4. restful api的10个最佳实践

    Web API在过去的几年里非常盛行,因为它有着语法简单.规范化和轻量级的优点,因为得到广泛的推崇,很多过往的技术手段都慢慢转换为使用Web API来开发.而Web API通常使用的设计方式是REST ...

  5. 【转】优化Web程序的最佳实践

    自动排版有点乱,看着蛋疼,建议下载中文PDF版阅读或阅读英文原文. Yahoo!的Exceptional Performance团队为改善Web性能带来最佳实践.他们为此进行了 一系列的实验.开发了各 ...

  6. Web前端开发最佳实践(7):使用合理的技术方案来构建小图标

    大家都对网站上使用的小图标肯定都不陌生,这些小图标作为网站内容的点缀,增加了网站的美观度,提高了用户体验,可是你有没有看过在这些网站中使用的图标都是用什么技术实现的?虽然大部分网站还是使用普通的图片实 ...

  7. web前端开发最佳实践笔记

    一.文章开篇 由于最近也比较忙,一方面是忙着公司的事情,另外一方面也是忙着看书和学习,所以没有时间来和大家一起分享知识,现在好了,终于回归博客园的大家庭了,今天我打算来分享一下关于<web前端开 ...

  8. [转] Web 前端优化最佳实践之 Mobile(iPhone) 篇

    原文链接:http://dbanotes.net/web/best_practices_for_speeding_up_your_web_site_server_mobile.html Web 前端优 ...

  9. 【社区公益】送《Web前端开发最佳实践》给需要的人

    算起来至今,我进入软件开发行业已经有11年之久.从最初的研究人工智能,到后来的Web开发,控件开发,直到现在纯粹的Web前端开发.虽然没有大的作品问世,但也是勤勤恳恳,踏实做事,低调做人.从来不吹牛逼 ...

随机推荐

  1. js 操作html dom

    author:冯永贤(Tony Feng,鸡鸣星),文章整合:internet <HTML DOM> 一:js能够改变HTML DOM 里面的什么内容 JavaScript 能够改变页面中 ...

  2. 安卓--ListView

    实验目的: 学习使用ListView 实验要求: 实现一个列表,其中显示班级学号姓名,提供添加功能,如需要删去某一项,长按该项,通过弹出菜单显示删除功能. package com.flyuz.app3 ...

  3. (原创)E - Straight Shot Gym - 101652R

    解题思路:这道题的题意就是给你n,总距离X,速度v:以及n组数据:人行道的左端点和右端点,以及人行道的速度(竖直方向),如果从(0,0)到(X,0)的时间小于2X/v,则输出其时间,否则输出”Too ...

  4. Websocket,ProtoBuffer,Hightlight,JSON 等,最近遇到的一些知识点小结

    websocket websocket 支持但不仅限于web场景,是一种封装好的socket通信协议,可以用来做C-S通信. 可以通过设置 binaryType 来指定通信的数据流格式,从而达到简洁高 ...

  5. 牛客寒假算法基础集训营5 J 炫酷数学

    链接:https://ac.nowcoder.com/acm/contest/331/J来源:牛客网 小希最近想知道一个东西,就是A+B=A|B(其中|为按位或)的二元组有多少个. 当然,直接做这个式 ...

  6. 8. sql 片段

    sql 片段: <sql id="columnBase"> `id`, `title`, `author_id` as authorId, `state`, `feat ...

  7. Jmeter函数引用和函数重定向【转】

    在jmeter中的[选项]中选择[函数助手对话框]---这些函数可以高速有效的帮助我们开展自动化编写与校验!!!!!! 如图: 重点!!!本章的侧重点不讲函数的具体使用,函数具体的使用与java类似, ...

  8. Luogu P1120 小木棍 [数据加强版] 来来来我们一起来剪枝,剪枝,剪枝、、、

    好啊...太棒了... dfs(拼到第几根木棍,这根木棍剩余长度,上一根木棍的位置) len是木棍的长度,cnt是木棍的个数 震撼人心的剪枝: 1.枚举长度从最大的木棍开始,直到sum/2,因为之后只 ...

  9. aerospike(2)-java client

    地址:https://www.aerospike.com/download/client/java/4.3.1/ 例子顺序:https://github.com/aerospike/aerospike ...

  10. 阿里插件检查 lombok报错---方法缺少 '@Override' 注解

    问题: Eclipse里,阿里编码规约插件扫描代码出现,但是idea却没有. 解决: 将以上注解改成 @Setter @Getter @NoArgsConstructor @AllArgsConstr ...