[英]Secured API endpoints
我正在構建一個返回二維碼的 API。
API 端點應獲得以下信息:email、client_id 和 client_secret。
我的 API 應該檢查客戶端 ID 和密碼,然后加密電子郵件(和更多數據),然后從加密的令牌中制作 QR 碼。
如何保護這個 API,這樣攻擊者就無法向我發送假 email?
我試圖了解如何保護 OAuth 請求免受中間人攻擊。 當我讀到它時,似乎我的服務器需要向 OAuth 提供程序發出 https 請求,包括這些數據。
我很難理解攻擊者如何看不到客戶端 ID 和機密(即使請求是通過消費者服務器發出的)。
希望得到幫助,謝謝!
如何保護 OAuth 請求免受中間人攻擊。
要在使用 OAuth2 時防止 MITM 攻擊,您必須使用 TLS (https) 連接。
如何保護這個 API,這樣攻擊者就無法向我發送假 email?
為避免偽造 email ,您需要驗證地址,例如發送一封帶有用戶需要與之交互的一次性代碼的郵件。 例如,基於 OAuth2 的身份驗證標准OpenID Connect具有特殊聲明,可以告知 email 是否經過驗證。
OpenID Connect 已經定義了額外的聲明,以通知 RP phone_number 和 email 聲明的驗證狀態。
默認情況下,我所有的其余api端點都是安全的,我如何取消它們的安全?
[英]all of my rest api endpoints are secured by default, how can i unsecure them ?(jersey)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
