0
我正在开发一个asp.net web api应用程序,并使用OWIN和标识为我的应用程序安全性实现oauth。对于每个注册用户,我还保存一个客户端ID和散列,如here所述。但我不希望其他开发人员能够使用我的api并使用他们拥有的客户端ID(和其他凭据)创建他们自己的应用程序。从其他应用程序开始调用保护web api
可能吗?
A
回答
1
首先,您必须加密移动设备和API之间的网络流量。因为攻击者可以通过代理获取敏感数据(在这种情况下是API令牌)。您还需要进行SSL固定,因为您需要确定公钥是否属于您,否则攻击者会使用相同的方法重新获取敏感数据。 (请查看:https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning)
您不应该使用用户名/密码对用户进行身份验证。我建议你使用API密钥,因此你可以将用户操作发送到服务器端,如下面的模式。
https://example.com/api/APIKEYOVERHERE/action
ALS可以看这个讲保护您的API - 为REST + JSON开发人员提示。 https://www.youtube.com/watch?v=FeSdFhsKGG0
相关问题
- 1. 密码保护应用程序开始
- 2. 保护Web应用程序
- 3. 使用其他Web应用程序从Web应用程序打开文件?
- 4. 从其他应用程序打开pdf
- 5. 从其他应用程序打开您的应用程序
- 6. 保护Web应用程序的WIFI
- 7. 其他Web应用程序中的Web应用程序
- 8. 从其他应用开始活动?
- 9. 保护由角度应用程序调用的API
- 10. 如何保护其他应用程序可以访问的webapp?
- 11. 如何在Android中保护其他应用程序的图像?
- 12. 用javascript调用其他应用程序的Web服务?
- 13. 使用OAuth2.0保护Web Api
- 14. 使用MVC3应用程序调用其他MVC应用程序
- 15. 春季应用程序启动期间的其他API调用
- 16. 如何使用BDD从头开始创建Web应用程序?
- 17. 开发两个独立的应用程序时,保护API端点Angular应用程序和Laravel应用程序
- 18. 通过url方案从其他应用程序打开背景应用程序时开始主要活动
- 19. 从Deobfuscators保护.Net应用程序?
- 20. 从SQL注入保护应用程序
- 21. 保护ASP.NET应用程序
- 22. 保护Symfony2应用程序
- 23. Drupal或从头开始的Web应用程序开发?
- 24. 从哪里开始进入Web应用程序开发
- 25. Smalltalk Web应用程序开发环境从头开始?
- 26. 打开其他Android应用程序
- 27. 检测音频何时开始播放其他应用程序
- 28. 你将如何从本地iPhone应用程序调用其他应用程序?
- 29. 如何从其他应用程序
- 30. 从Oracle ADF应用程序,Web服务或其他东西调用功能?
这取决于您的应用程序设计。任何人都可以注册并在您的应用程序中有一个帐户? – 2014-10-29 16:59:57
其实我有一个使用这个API的Android应用程序,用户可以从Android应用程序注册。 – 2014-10-29 17:01:50