यह पहली RESTful वेब सेवा है और मैं सुरक्षा मुद्दों के बारे में चिंतित हूं। क्या HTTP हेडर के माध्यम से मेरे एक्सेस टोकन को प्रसारित करना सुरक्षित है? उदाहरण के लिए:
POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8
parameter1=foo¶meter2=bar
कनेक्शन खत्म हो गया SSL। इसके अलावा, क्या scopeहर के लिए विशेषता के रूप में परिभाषित किया जाना चाहिएaccess token
जवाबों:
यदि आप HTTP के माध्यम से एक्सेस टोकन हेडर प्रसारित करते हैं, तो यह मैन-इन-मिडिल हमले के लिए असुरक्षित होगा।
जब आप HTTPS के माध्यम से एक्सेस टोकन हेडर ट्रांसमिट करते हैं, तो क्लाइंट के अलावा कोई भी इस टोकन को नहीं देख पाएगा, क्योंकि अनुरोध सुरक्षित कनेक्शन के माध्यम से ट्यून किया जाएगा।
Http हेडर पर पहुँच टोकन को स्थानांतरित करने में कोई गंभीर समस्या नहीं है क्योंकि एसएसएल का उपयोग किए जाने पर स्थानांतरित डेटा एन्क्रिप्ट किया गया है, इसका मतलब यह है कि इसे केवल विशेष क्लाइंट द्वारा ही समझा जा सकता है, जिसने अनुरोध किया और अनुरोध के लिए प्रतिक्रिया देने वाले सर्वर, बीच में कोई संभावना नहीं है। किसी भी तीसरे पक्ष द्वारा डेटा को समझें।
अन्य चीजें access tokenसमय आधारित हैं इसलिए उनके पास एक विशिष्ट अवधि के लिए जीवन है, इसलिए भविष्य में उनके उपयोग की कोई संभावना नहीं है।
विचार करने वाली बात कैशिंग भी है।
आपका बैकएंड एक ही GET / POST मापदंडों के साथ एक ही URL पर कई कॉल देख सकता है, लेकिन एक अलग हेडर एक्सेस टोकन और विचार सामग्री किसी भी बॉडी को कैश और जब्त कर सकता है।