我想知道在保护 API 网关时,是否有任何方法或可能性将授权代码授予类型作为授权器实施? 正如所搜索的,“授权码”授权类型最推荐用于保护 API。 我在下面的文章中找到了解释使用 cognito 'client credentials' 作为授权类型来保护 api 网关的文章, https:// ...
我想知道在保护 API 网关时,是否有任何方法或可能性将授权代码授予类型作为授权器实施? 正如所搜索的,“授权码”授权类型最推荐用于保护 API。 我在下面的文章中找到了解释使用 cognito 'client credentials' 作为授权类型来保护 api 网关的文章, https:// ...
我正在创造新产品。 为此,我必须使用可用的安全功能。 我应该使用Oauth2还是Json web token ? 哪个更好,在什么情况下应该使用这些? ...
当我使用GET 、 POST等在 java 中创建Restservices时,我使用http protocol请求它们。 只要我使用 https 它就会出错。 例如: http://localhost:8080/demorest/webapi/aliens工作正常。 但是当我使用https查询时 ...
我有一个具有两个安全配置(两个WebSecurityConfigurerAdapter )的Spring Boot应用程序,一个用于具有“ /api/** ”端点的REST API,一个用于所有其他端点的Web前端。 安全配置在Github上 ,下面是其中的一些相关部分: JWTAut ...
我正在使用一个 URL,它接受 GET 调用的用户名。 例如: https : //example.com/details/ <用户名> 但是,如果用户名包含“.bat”或“.exe”(例如:mm.baty - https://example.com/details/mm.baty ) ...
我有一个MyRestApi.war API MyRestApi.war ,它是一个Spring Boot和Spring MyRestApi.war项目。 还有另一个Web项目A.war ,这是一个普通的spring项目。 它的前端(如javascript和后端(如java code需要调 ...
我目前正在构建一个android应用程序和一个后端REST API。 登录名仅在Android部分使用fb和google登录名。 所有的API都是公开访问的。 我应该如何保护我的后端api,以便只有android应用程序可以访问它? 甚至无法使用基本身份验证和OAUTH,因为它将 ...
我正在创建一个付款android库( aar ),我必须确保我在back-end收到的所有请求都来自我的库,而不是假库。 我该怎么做? ...
我正在网站上实现Olark在线聊天,而我要做的就是实现以下js代码。 我想知道哪种技术使用第三方JavaScript插件,例如Olark , Disqus和类似公司? 如您所见, olark.identify()在我的网页上是公开可用的,您可以使用“检查元素”找到它。 那么他们如 ...
我正在构建一个将由OAuth2保护的应用程序。 我期望的用户类型如下: 基于非保密浏览器的Java脚本客户端。 (我的Angular客户端应用程序) 非机密本机应用程序客户端。 (我的iOS / android客户端应用程序) 基于第三方的非机密浏览器的Java脚 ...
该Web应用程序已经实现了JWT和HTTPS,问题是从服务器(节点js)发送到已签名令牌用户的json响应在客户端(反应js)浏览器开发工具中可见。 有什么办法可以使用加密模块来防止使用浏览器开发工具轻松查看敏感的json API响应? 注意:我已经尝试过混淆技术,但是没有被说服。 ...
我需要分析Fortify工具,以扫描针对我们的产品开发的基于REST的Web服务。 它是否提供相同的支持,或者我可能需要查看其他工具。 ...
我可以使用以下URL来访问我的Web服务: http:// localhost:8080 / projectservices / route / rest / gethealth 但我想强制应用程序仅使用https来使用https访问REST资源: http:// localhost:80 ...
到目前为止,我读过的大多数教程都在API网关上使用@EnableOAuth2Sso而不是@EnableResourceServer 。 有什么区别? 相比之下, OAuth2Sso作用是什么? 详细信息:我正在为基于Spring的微服务和单页应用程序实现安全/基础架构。 有一段时间, ...
我有一个网站,它使用在网络服务器上公开的 rest API。 这是一个内容网站,免费向公众开放。 因此,任何人都可以通过导航来阅读内容(在后台调用不同的 REST API)。 同时,我担心有人可以从浏览器中的开发人员工具找出我的端点并调用它们(数百万次)来关闭我的服务器。 除了浏览器之外,我需要保 ...
我正在为现有应用程序实现REST层。 我将我的用户ID和密码存储在数据库中,我想在调用我的REST服务时验证这些凭据。 请注意,这是一个独立的应用程序。 经过调查,我想出了两种方法。 使用HTTPS的基本实现 - 这种方法可确保传递的用户标识和密码不会被Man在中间攻击中篡改 ...
我们当前的REST API实现对所有类型的请求(PUT,POST,GET)使用queryString内的apiKey。 我认为这是错误的,但无法解释原因(也许apiKey可以在服务器和客户端之间的某处兑现)。 就像是: POST /objects?apiKey=supersecret { ...
我是OpenAM的新手,正在尝试使用OpenAM保护我的Web服务。 我已经使用链接中的以下信息安装了J2EE策略代理。 https://wikis.forgerock.org/confluence/display/openam/Installing+Tomcat+6.0+Policy+ ...
我正在网站上工作,我不太了解有关身份验证的内容。 我有一个带有外部API的网站,我的网站可以向我的API询问信息,以检索用户,文章等数据。 此外,用户还可以在我的网站上创建帐户并请求API访问(当然,他的个人资料有一些限制)。 所以我的想法是在用户帐户中提供一个密钥/令牌,以允许它 ...
我正在尝试连接到发送json响应的rest api。 复制时,将网址粘贴到浏览器中。浏览器弹出一个对话框,输入用户名和密码。 输入用户名和密码(Active Directory ID和密码)后,服务将发送JSON响应。 Http请求和响应 但是尝试从代码连接时,它返回以下错误 ...