设计好一个美丽的 REST + JSON API 之后,怎样对你的 API 进行保护?在 Stormpath,我们花了 18 个月来寻找最佳实践.将其一一实践于 Stormpath API 中并分析其效果.本文将阐述怎样保护 REST API. 选择合适的安全协议 行业标准认证协议有助于减少就保护你的 API 所做的相关投入.也能够使用自己定义安全协议.但仅限于一些非常特殊的场景. 下面是几个主要协议的长处和缺点的概述. 基本认证 w/TLS 基本认证是三个通用协议(基本.Oauth 1.0a.…
Web API CSRF保护实现 这次自己实现了类似jQuery中ajax调用的方法,并且针对RESTFul进行了改造和集成,实现的A2D AJAX接口如下: $.ajax.RESTFulGetCollection("/api/Users", function (data) { alert(data[5].FirstName); }); $.ajax.RESTFulGetOne("/api/Users/1", function (data) { alert(data…
这两天遇到一个应用场景,需要对内网调用的部分 web api 进行安全保护,只允许请求头账户包含指定 key 的客户端进行调用.在网上找到一篇英文博文 ASP.NET Core - Protect your API with API Keys,该文中的代码完美基于 ASP.NET Core 内置的鉴权(Authentication) 与授权(Authorization)机制解决了这个问题,于是站在巨人的肩上自己实现了一遍,在这篇随笔中做个记录. ASP.NET Core Authenticati…
这次自己实现了类似jQuery中ajax调用的方法,并且针对RESTFul进行了改造和集成,实现的A2D AJAX接口如下: $.ajax.RESTFulGetCollection("/api/Users", function (data) { alert(data[5].FirstName); }); $.ajax.RESTFulGetOne("/api/Users/1", function (data) { alert(data.UserID); }); $.a…
利用Laravel 搭建oauth2 API接口 要求 laravel 5.4以上 安装 $ composer require laravel/passport 在配置文件 config/app.php 的providers 数组中注册 Passport 服务提供者: LaravelPassportPassportServiceProvider::class, 迁移数据库 执行完后会生成oauth需要的表 $ php artisan migrate 这一步注意,执行的时候可能会报错 Syntax…
这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源. 保护MVC客户端的文章: https://www.cnblogs.com/cgzl/p/9253667.html,  https://www.cnblogs.com/cgzl/p/9268371.html 相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面…
数字转型是基于一种可驱动新的操作模型的API,提供对业务逻辑.应用程序和数据的直接访问.虽然这种访问对于员工,合作伙伴和客户来说非常方便,但它也使API成为黑客和恶意网络的攻击目标.随着越来越多的攻击和漏洞,扩展安全性现在变得越来越重要. 现有的解决方案(例如访问控制,速率限制等)提供基本保护,但不足以完全阻止恶意攻击.今天的安全团队需要识别并响应动态变化的攻击,这些攻击利用了各个API的自我漏洞而提高了攻击的成功率.想想在未来,人工智能可以检测API以及其他泄露数据的异常行为,自动阻止对整个A…
开篇先扯几句题外话,许多朋友都问我怎么不写防啊,我确实有点犹豫.hackers总是想象如果自己是开发者会怎么写,然后才能找到入手点.同理,开发者们也要想象自己是hackers会怎么做,才能采取相应的防御措施.然后,就是一场递归的博弈.拿越狱检测这件事来说,起初大家只需判断有无安装Cydia就好了,hackers们说好,那我就不安装Cydia也可以动手脚.开发者们又说,那你一定得用的上MobileSubstrate,bash,ssh吧,我去检测手机有没有安装这些工具.可是又有什么用呢?你判断什么我…
DELPHI下API简述 http://zero.cnbct.org/show.asp?id=144 auxGetDevCaps API 获取附属设备容量 auxGetNumDevs API 返回附属设备数量 auxGetVolume API 获取当前卷设置 auxOutMessage API 向输出设备发送消息 auxSetVolume API 设置附属设备卷 AbortDoc API 终止一项打印作业 AbortPath API 终止或取消DC中的一切路径 AbortPrinter API…
内容:本文带大家使用IdentityServer4进行对API授权保护的基本策略 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 本文将要讲述如何使用IdentityServer4对API授权保护以及如何携带Token进行访问受保护的API,通过HttpClient或Http请求中的body这些我们都可以达到.那么废话不多说,开始吧~ 首先我们一定要知道,我们访问要访问一个受安全限制的API的锁子是在一个专门的IdentityServer4验证服务器.所以呢,我们需要创建一个…