繁体 English 中英

如何为移动应用程序保护REST API？

[英]How to secure a REST API for mobile applications?

原文 2012-02-29 22:58:43 6 4 android/ iphone/ django/ rest

我正在尝试为Django添加一个REST接口，用于移动客户端。 移动客户端将通过HTTPS使用JSON。 我无法找到为移动设备实现这一目标的“最佳”方式。 从搜索周围来看，＃2似乎更有利于＃1：

使用HTTP身份验证并建立基于cookie的会话。 所有事务都将通过HTTP发生，JSON消息将仅包含命令或数据。
在所有事务的每个JSON消息中传递用户名和密码（加密），不依赖于基于cookie的会话。

4 个解决方案

我建议首先通过登录电话发送用户名/密码。 JSON将传回一个authToken或accessToken，移动设备将为后续所有呼叫发送回来。 然后，您将检查以确保authToken有效。 这是许多API采用的方法。 在他们的数据库中，他们将API密钥绑定到他们登录的用户帐户。

除非您希望将这些服务提供给其他开发人员（他们将代表您的最终用户访问），否则OAuth可能会过度。 最好使用选项2，但我建议使用摘要式身份验证而不是密码身份验证。 将它与SSL结合起来，你绝对不错。

2号是首选，而不是自己滚动，我建议尽可能使用OAuth身份验证。 客户端和服务器库现在都可以在大多数平台上使用。 查看http://oauth.net了解详情。

只要您使用的是实际加密而不是base64或某些自行开发的混淆算法，＃2就可以了。 您可能还想考虑许多公司采用的路由，即将API密钥绑定到用户名。

如何正确保护我的REST-API

[英]How to correctly secure my REST-API

如何使用查询身份验证保护REST API

[英]how to secure rest api with query authentication

移动应用的 API 部署

[英]API deployment for mobile applications

如何为从移动和javascript Web应用程序访问的rest API实现OAuth 2.0，如基于令牌的身份验证

[英]How to implement OAuth 2.0 like token based authentication for rest API which is accessed from mobile and javascript web applications

无需移动应用程序的用户身份验证即可保护私有REST API的最佳方法

[英]Best way to secure Private REST API without user authentication for mobile app

保护移动应用程序调用的API

[英]Secure an API for mobile apps call

如何在手机上保护密码

[英]How to secure passwords on mobile

如何为我的应用程序创建安全的Rails REST Api？

[英]How to create a secure Rails REST Api for my app?

如何使用REST API或其他方法保护JSON文件？

[英]How can I Secure a JSON file with REST API or other methods?

移动应用程序的服务器端API

[英]Server Side API for Mobile Applications

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何正确保护我的REST-API 如何使用查询身份验证保护REST API 移动应用的 API 部署如何为从移动和javascript Web应用程序访问的rest API实现OAuth 2.0，如基于令牌的身份验证无需移动应用程序的用户身份验证即可保护私有REST API的最佳方法保护移动应用程序调用的API 如何在手机上保护密码如何为我的应用程序创建安全的Rails REST Api？如何使用REST API或其他方法保护JSON文件？移动应用程序的服务器端API

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM