标签[rest-security] - 堆栈内存溢出

这是否可以使用 cognito 的授权代码授权类型作为 api-gateway 中的授权人？ - Is this possible to use cognito's Authorization code grant type as a authorizer in the api-gateway?

我想知道在保护 API 网关时，是否有任何方法或可能性将授权代码授予类型作为授权器实施？正如所搜索的，“授权码”授权类型最推荐用于保护 API。我在下面的文章中找到了解释使用 cognito 'client credentials' 作为授权类型来保护 api 网关的文章， https:// ...

使用 Oauth 2.0 保护 API - Securing API using Oauth 2.0

我正在创造新产品。为此，我必须使用可用的安全功能。我应该使用Oauth2还是Json web token ？哪个更好，在什么情况下应该使用这些？ ...

使用https在java中休息api - Rest api in java using https

当我使用GET 、 POST等在 java 中创建Restservices时，我使用http protocol请求它们。只要我使用 https 它就会出错。例如： http://localhost:8080/demorest/webapi/aliens工作正常。但是当我使用https查询时 ...

Spring具有两个安全配置-API登录失败将重定向到表单登录页面。如何改变？ - Spring with two security configurations - failed API login redirects to form login page. How to change?

我有一个具有两个安全配置（两个WebSecurityConfigurerAdapter ）的Spring Boot应用程序，一个用于具有“ /api/** ”端点的REST API，一个用于所有其他端点的Web前端。安全配置在Github上，下面是其中的一些相关部分： JWTAut ...

URL 中带有 .bat/.exe 的用户名 - 替代 - Usernames with .bat/.exe in the URL - alternative

我正在使用一个 URL，它接受 GET 调用的用户名。例如： https : //example.com/details/ <用户名> 但是，如果用户名包含“.bat”或“.exe”（例如：mm.baty - https://example.com/details/mm.baty ） ...

如何在没有Spring安全性的情况下使用api密钥保护rest api - how to secure rest api with api keys without spring security

我有一个MyRestApi.war API MyRestApi.war ，它是一个Spring Boot和Spring MyRestApi.war项目。还有另一个Web项目A.war ，这是一个普通的spring项目。它的前端（如javascript和后端（如java code需要调 ...

Spring Boot中的安全REST API无需登录身份验证 - Secure REST API in Spring Boot without login authentication

我目前正在构建一个android应用程序和一个后端REST API。登录名仅在Android部分使用fb和google登录名。所有的API都是公开访问的。我应该如何保护我的后端api，以便只有android应用程序可以访问它？甚至无法使用基本身份验证和OAUTH，因为它将 ...

如何在后端验证请求 - How to verify requests in backend

我正在创建一个付款android库（ aar ），我必须确保我在back-end收到的所有请求都来自我的库，而不是假库。我该怎么做？ ...

客户端API安全 - Client side API security

我正在网站上实现Olark在线聊天，而我要做的就是实现以下js代码。我想知道哪种技术使用第三方JavaScript插件，例如Olark ， Disqus和类似公司？如您所见， olark.identify（）在我的网页上是公开可用的，您可以使用“检查元素”找到它。那么他们如 ...

是否存在可以用于多种客户端类型的“一包所有” OAuth2工作流程？ - Is there an one-for-all OAuth2 workflow that I can use for multiple client types?

我正在构建一个将由OAuth2保护的应用程序。我期望的用户类型如下：基于非保密浏览器的Java脚本客户端。（我的Angular客户端应用程序）非机密本机应用程序客户端。（我的iOS / android客户端应用程序）基于第三方的非机密浏览器的Java脚 ...

如何防止签名令牌用户通过浏览器开发人员工具访问API响应？ - how to prevent signed token users from accessing the API response through brower developer tools?

该Web应用程序已经实现了JWT和HTTPS，问题是从服务器（节点js）发送到已签名令牌用户的json响应在客户端（反应js）浏览器开发工具中可见。有什么办法可以使用加密模块来防止使用浏览器开发工具轻松查看敏感的json API响应？注意：我已经尝试过混淆技术，但是没有被说服。 ...

HP fortify工具可用于扫描公共REST Web服务的性能如何？ - How good is HP fortify tool for scanning public REST webservices?

我需要分析Fortify工具，以扫描针对我们的产品开发的基于REST的Web服务。它是否提供相同的支持，或者我可能需要查看其他工具。 ...

要使我的Restful服务只能通过https而非http访问，需要进行哪些更改？ - What changes require to make my Restful services only accessible through https instead http?

我可以使用以下URL来访问我的Web服务： http：// localhost：8080 / projectservices / route / rest / gethealth 但我想强制应用程序仅使用https来使用https访问REST资源： http：// localhost：80 ...

Spring @EnableResourceServer vs @ EnableOAuth2Sso - Spring @EnableResourceServer vs @EnableOAuth2Sso

到目前为止，我读过的大多数教程都在API网关上使用@EnableOAuth2Sso而不是@EnableResourceServer 。有什么区别？相比之下， OAuth2Sso作用是什么？详细信息：我正在为基于Spring的微服务和单页应用程序实现安全/基础架构。有一段时间， ...

保护 REST API - Securing REST API

我有一个网站，它使用在网络服务器上公开的 rest API。这是一个内容网站，免费向公众开放。因此，任何人都可以通过导航来阅读内容（在后台调用不同的 REST API）。同时，我担心有人可以从浏览器中的开发人员工具找出我的端点并调用它们（数百万次）来关闭我的服务器。除了浏览器之外，我需要保 ...

用于REST Web服务的OAuth 2.0 - OAuth 2.0 for REST Web services

我正在为现有应用程序实现REST层。我将我的用户ID和密码存储在数据库中，我想在调用我的REST服务时验证这些凭据。请注意，这是一个独立的应用程序。经过调查，我想出了两种方法。使用HTTPS的基本实现 - 这种方法可确保传递的用户标识和密码不会被Man在中间攻击中篡改 ...

queryString中的身份验证令牌 - authenctication token in a queryString

我们当前的REST API实现对所有类型的请求（PUT，POST，GET）使用queryString内的apiKey。我认为这是错误的，但无法解释原因（也许apiKey可以在服务器和客户端之间的某处兑现）。就像是： POST /objects?apiKey=supersecret { ...

使用OpenAM 12.0 J2EE策略代理保护REST APIS - Securing REST APIS using OpenAM 12.0 J2EE Policy Agents

我是OpenAM的新手，正在尝试使用OpenAM保护我的Web服务。我已经使用链接中的以下信息安装了J2EE策略代理。 https://wikis.forgerock.org/confluence/display/openam/Installing+Tomcat+6.0+Policy+ ...

使用令牌进行API身份验证 - API authenfication using a token

我正在网站上工作，我不太了解有关身份验证的内容。我有一个带有外部API的网站，我的网站可以向我的API询问信息，以检索用户，文章等数据。此外，用户还可以在我的网站上创建帐户并请求API访问（当然，他的个人资料有一些限制）。所以我的想法是在用户帐户中提供一个密钥/令牌，以允许它 ...

.NET Rest API调用不起作用 - .Net rest api call not working

我正在尝试连接到发送json响应的rest api。复制时，将网址粘贴到浏览器中。浏览器弹出一个对话框，输入用户名和密码。输入用户名和密码（Active Directory ID和密码）后，服务将发送JSON响应。 Http请求和响应但是尝试从代码连接时，它返回以下错误 ...