如何保護REST Web服務?
[英]How can secure a REST web service?
問題描述
我正在攻讀Spring核心認證,我對REST Web服務和我正在研究如何應用於Spring框架有一些疑問。
所以我對基於我的學習材料的這個問題有一些疑問,但我找不到答案。
所以問題是(我不知道這些問題是彼此相關的):
REST安全嗎? 你能做些什么來保護它?
REST是否與傳輸層安全性(TLS)一起使用?
我已經了解了REST Web服務是如何工作的,我知道它使用Http方法來訪問資源並實現CRUD操作,但是什么意味着要求REST是否安全? 在這種特定情況下,安全是什么意思?
什么是REST中的TSL究竟是什么?
2 個解決方案
解決方案1
3 已采納 2015-04-10 15:11:16
1. REST安全嗎? 你能做些什么來保護它?
REST是一種范例。 它不是完成的協議或實現。 有一些機制可以保護RESTful Web服務(一種是TLS),但默認情況下REST並沒有說明任何內容。
OWASP可以很好地概述REST安全主題以及如何保護RESTful Web服務:
什么是安全性?:
請注意,信息安全有不同的安全目標:
- 保密
- 廉正
- 可用性
所有人都需要不同的安全措施。 有些無法單獨通過Web服務(REST)處理。 (例如,可用性意味着服務器本身是安全的,並且您的安全措施會再次受到dDoS攻擊。)
它並沒有很好地定義REST的詳細內容,它不是官方標准或規范。 我會說REST本身並不安全。 您可以圍繞它構建機制來保護它(如TLS,令牌身份驗證)。 其中許多措施與REST直接無關。
2. REST是否與傳輸層安全性(TLS)一起使用?
是。 傳輸層安全性可以加密與RESTful Web服務的通信,並向客戶端驗證服務器。 ( 機密性和一些延伸完整性 )
解決方案2
1 2015-04-10 15:15:33
這取決於 。 安全是關於權衡,而不是簡單的是/否問題。 REST本身並不安全或不安全; 這取決於你如何實現它。 一個例子是SQL注入攻擊:REST的使用與系統是否阻止它們無關。 另一個例子是授權訪問:REST本身並不限制對其公開的資源的訪問。 如果您需要保證這些資源只能在本地訪問,那么使用REST將更難確保這些資源。
2.一般是的 。 現成的服務器支持TLS,但使用REST進行通信的完全從頭開始編寫的程序可能無法實現TLS代碼(這是一個相當不切實際的情況,但我為了完整性而將其包括在內)。
如何在Java EE 6中保護REST Web服務
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.