堆棧內存溢出
cost 290 ms
對於不需要訂閱的產品中的端點,Azure API 管理中的 SubscriptionKey 無效?

[英]SubscriptionKeyInvalid in Azure API Management for an endpoint in a product that does not require subscription?

我對 Azure API 管理有一個非常奇怪的問題,我似乎沒有弄清楚...... 我們有一個 API 操作,它是與不需要訂閱的產品鏈接的 APIM API 的一部分。 目的是這個 API 端點對消費者公開可用,不需要任何訂閱密鑰、標頭等...... 當我從 Postman 調用這個端點時,它起作用 ...

條紋數據安全

[英]Stripe Data Security

我目前正在我的項目中實施 Stripe,我對發送到前端的數據存在很大疑問。 例如,如果我將 payment_method_id 發送到前端或者公開訂閱 ID 或發票 ID,是否安全? 如果這些數據被暴露,有沒有辦法讓某人使用這些數據進行惡意行為? 我也懷疑我是否應該將我的數據保存在我的后端數據庫中, ...

是否應保護具有不敏感數據的 rest API

[英]Should rest APIs with insensitive data be protected

所以我有一個安靜的 API 負責處理我的應用程序的許可證,它記錄用戶身份用戶 email 用戶名執照到期日目前發生的情況是用戶通過第三方身份驗證服務(firebase)進行身份驗證,然后應用程序從 firebase 身份驗證響應中獲取用戶 ID,並在未經許可 API 任何授權的情況下獲取許可信息。 ...

阻止平台用戶“嗅探”后端請求並修改它們的最佳方法是什么?

[英]What is the best approach to stop your platform's users to "sniff" the frontend requests to backend and modify them?

所以我有一個這樣工作的平台:用戶可以通過使用他們的谷歌登錄來創建帳戶(我使用 AUTH0) ,然后他們可以創建“項目”,其中包含許多其他關於我當前問題的不重要的東西(比如待辦事項列表、能力上傳文件等;他們還可以通過更改項目的一些屬性(如名稱、描述、主題等)來編輯項目)。 有一個主頁,每個人都可以看到 ...

如何知道 JWT 的密鑰以及在 windows 服務器上的存儲位置

[英]How to know the secret key of JWT and where to store it on windows server

我正在嘗試在我的 Web API 中實現 JWT 身份驗證。 我是第一次這樣做。 當我在谷歌上搜索一些教程時,第一步是顯示將密鑰保存在 appsettings.json 文件中。 我被困在那個地方本身。 我將如何知道並獲取該密鑰,以便將其存儲在文件中。 另外,我將如何知道我的每個環境(即 Dev、T ...

如何使用 Azure AD 保護需要由 3rd 方應用程序訪問的 API?

[英]How to use Azure AD to secure an API that needs to be accessed by a 3rd party application?

我們正在運行一個為 Azure AD 配置和保護的 API。 這適用於我們的 Angular 應用程序,用戶可以在該應用程序中以交互方式登錄。 現在我們需要合作伙伴公司以系統到系統的方式使用 API(無需用戶登錄)。 需要為他們的應用程序配置哪些內容才能從 Azure AD 獲取我們的 API 的 ...

Azure APIM、API 安全實現、JWT

[英]Azure APIM, API security implementation, JWT

我想在 azure APIM 中為我的 API 實現安全性。 我正在為 APIM 中的 API 尋找 JWT 驗證策略的實現。 這樣我的 API 是安全的並且令牌得到驗證。 我找不到任何解釋我如何配置 JWT 的好文章,前提是我使用 OpenID 完成了 SSO 並擁有用戶數據庫。 更具體地說,我 ...

如何在 Kong 網關后面保護公共和內部流量的 API

[英]How to secure API behind Kong Gateway for both pubic and internal traffic

我們目前有多個不在網關后面的 API。 公開的 API 使用 OpenID Connect 進行身份驗證和聲明授權。 一些 API 僅供內部使用,並在防火牆后進行網絡保護。 我們計划在我們的 API 前設置 Kong Gateway Enterprise。 我們應該能夠在網關處集中來自公共客戶端的 ...

當 API-Security 只有一個用戶角色時,使用 JWT 是否足夠?

[英]Is it enough to use JWT when there is only one user role for API-Security?

我將開發一個移動應用程序,為此,我閱讀了很多關於 API 安全性的內容並且有點困惑。 如果我的應用程序向 API 發出請求,那么身份驗證是否足夠,或者我是否還需要授權,因為我只有一個用戶角色。 這意味着 JWT 而不是 OAuth 就足夠了,對吧? ...

如何防止攻擊者利用我的密碼重置機制對 email 炸彈人?

[英]How to prevent attackers from using my password reset mechanism to email bomb people?

我的 web 應用程序有一個非常標准的功能,它允許忘記密碼的用戶通過向自己發送密碼重置 email 來重置密碼,其中包含指向頁面的鏈接以創建新密碼。 我擔心 person1 可能會使用此頁面騷擾 person2,聲稱需要重置密碼 email,但提供 person2 的 email 地址,並使用機器 ...

如何使用我自己的自定義令牌系統保護我的 Java Spring 啟動 API?

[英]How can I protect my Java Spring Boot API with my own Custom Token System?

我正在嘗試使用令牌系統保護我的 Java Spring API。 目的是我可以說,如果令牌具有特權(令牌 xyz 是管理員或只是一個用戶)在 Controller 我想說只有管理員被允許調用該方法。 我希望你能理解我的問題。 謝謝! ...

使用 OAuth2.0 資源所有者密碼憑證訪問安全的 API

[英]Use OAuth2.0 Resource Owner Password credentials to access a secured API

我有一個安全的 API 學生 API,我可以通過 OAuth2.0 客戶端憑據流訪問它,該流使用IConfidentialClientApplication應用程序創建訪問令牌並訪問安全應用程序。 現在使用 OAuth 2.0 資源所有者密碼憑證訪問受保護的 API。 我主要使用 microsof ...

在 React JS 中保護 API 調用

[英]Secure API Call in React JS

我有一個 API,我想從我的前端發出請求,該前端是使用 React 構建的。 但是,我不希望任何人在我的代碼中看到 API 調用,因為如果有人只是打開檢查 window,那么他們可以看到 API 調用。 我考慮過可能會添加某種 header 作為請求中的身份驗證發送,但這也不起作用,因為如果您檢查站 ...

無需用戶注冊的安全 API - php/Laravel

[英]Secure API without a user registration - php/Laravel

我在 Laravel 中有一個 API,主要是 GET 端點和一個 android 應用程序。 該應用程序旨在無需身份驗證即可打開,例如,您可以在無需登錄或注冊的情況下瀏覽酒店的 Booking.com。 任何人都可以訪問我的端點並獲取原始 JSON 數據,甚至可以制作一個在他們自己的應用程序中 ...

提供新的 JWT 以防過期

[英]Supply a new JWT in case of expiration

我的客戶是一家擁有我的網絡服務器憑據的公司,我希望他讓他的最終用戶使用我為他提供的 JWT 撥打我的 API。 這是流程: 最終用戶從客戶的網絡服務器請求 web 頁面如果最終用戶沒有 JWT 用於我的網絡服務器,客戶的服務器將使用他的憑據調用我的 API,我給他一個新的 JWT,有效期為 1 小時 ...

Spring Boot API 如何驗證請求頭中發送的 NONCE 值以避免重放攻擊

[英]Spring Boot API how to validate NONCE value sent in request header to avoid replay attacks

我有一個帶有自定義身份驗證的 Spring Boot 應用程序。 我正在使用 Servlet 過濾器攔截 API 請求並驗證發送的請求令牌。 我還在客戶端的請求標頭中請求Nonce ,這是在每個 API 調用中從客戶端發送的唯一值。 我想知道是否有一種標准的方法來檢查在標頭中收到的 Nonce。 ...

如何解決 REST API 中的機器人

[英]How to tackle bots in REST APIs

我有一個移動應用程序,用戶在其中投放廣告,其他用戶查看並接受它。 最近,我開始注意到機器人開始發布自己的廣告。 我有版主,但廣告太多,無法檢查所有內容(另一個挑戰是,討價還價會立即實時發生)。 它是經典的 REST API。 我用谷歌搜索了很多,令我驚訝的是找不到任何可以防止非法機器人活動的開源解決 ...

僅針對某些請求刪除安全性 wso2 api 管理器

[英]Remove security only for some requests wso2 api manager

是否可以使用 WSO2 API 管理器版本 3 刪除我的 api 列表中某些特定請求的安全性。 例如,我有以下請求 就我而言,我不需要/products - get的安全性。 更新我嘗試了@Pubci 獲取請求響應的建議 ...


排序:
質量:
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM