簡體 English 中英

用戶認證之前的安全休息服務

[英]Secure Rest-Service before user authentification

原文 2016-07-18 08:40:30 2 1 java/ web-services/ rest/ security

我有一個Web應用程序，提供一些休息服務（澤西島）。 大多數端點都通過BASIC身份驗證來保護。 此外，我使用SSL進行傳輸，並為每個呼叫要求POST。 客戶端/消費者是android應用。

到現在為止還挺好。 似乎容易受到攻擊的唯一服務是注冊。 這是呼叫的“第一個”服務，並且用戶還不存在。 因此，我無法使用OAuth等。我還必須使端點易於訪問以使用戶能夠注冊。

我如何確保此服務的安全性，以防僵屍程序淹沒我的數據庫？

1 個解決方案

這些怎么樣？

在request參數中使用帶有令牌的注冊鏈接。 確保令牌在一段時間后過期。 您也可以為客戶端創建令牌端點URL，以獲取有效令牌。
在請求中使用自定義標頭或動態自定義標頭。 此外，您可以檢查動態自定義標頭以驗證請求的真實性。
完成注冊后，立即使用注冊確認工作流程，例如電子郵件/文本驗證。 每天運行一個過程以刪除所有用戶帳戶，這些帳戶在x天之內沒有得到驗證。

我認為您真的不能以HTTP方式保護注冊URL。 恕我直言，任何擁有注冊網址的人都可以嘗試注冊。 因此，如果您問我，選項3比其他選項更好。

單元測試REST服務

[英]Unit testing a REST-Service

將REST呼叫模擬到另一個休息服務

[英]Mocking REST call to another rest-service

具有數字簽名的Java REST服務

[英]Java REST-Service with Digital Signing

與服務用戶或公共用戶保護REST端點的安全

[英]Secure REST endpoints with service user or public user

刪除依賴對象的異常處理（jpa / rest-service）

[英]exception handling for deleting dependent objects (jpa/rest-service)

是否可以在自己的modeshape實例中使用modeshapes REST服務？

[英]Possibility for Using modeshapes REST-service with your own modeshape instance?

嘗試使用封裝的http響應代碼構建REST服務

[英]Trying to build a REST-Service with encapsulated http response codes

Spring 執行 Cucumber 測試時啟動休息服務關閉

[英]Spring Boot rest-service shutdown when execute Cucumber test

為什么此REST服務不返回卻其他返回？

[英]Why does this REST-service not return while the other does?

使用spring REST服務在html（header）中加載外部動態腳本

[英]Loading external dynamic Script in html (header) with spring REST-service

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 單元測試REST服務將REST呼叫模擬到另一個休息服務具有數字簽名的Java REST服務與服務用戶或公共用戶保護REST端點的安全刪除依賴對象的異常處理（jpa / rest-service）是否可以在自己的modeshape實例中使用modeshapes REST服務？嘗試使用封裝的http響應代碼構建REST服務 Spring 執行 Cucumber 測試時啟動休息服務關閉為什么此REST服務不返回卻其他返回？使用spring REST服務在html（header）中加載外部動態腳本

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM