实施安全 Web 服务的资源/材料?

信息安全 Web应用程序 网页浏览器 饼干 休息
2021-08-26 22:30:59

我正在实现一个 REST 风格(注意:它需要比规范更实用)的 Web API,我想保护它。我使用的语言相当新鲜,没有很多高质量的预制安全模块,例如 Rails 的 Devise,因此我必须自己动手。我也觉得这是一个很好的学习机会,何乐而不为呢。

我需要工作的基本场景是:

  • 通过网络安全登录
  • 使用相同 API 为移动用户登录
  • 基于用户身份的 ACL

从未手动实施过上述任何一项,我不太了解最佳实践。不幸的是,我一直找不到任何好的资源来提供有关如何实现这些基本形式的网络安全的教程/指南。

例如,什么是基于 cookie 的身份验证的一个很好的例子,你在用户浏览器上留下的令牌中存储了什么等等。我没有通过谷歌发现任何可靠的东西,令人惊讶的是它必须是其中之一大多数网站最常见的实现。

建议?

谢谢!

1个回答

大多数OWASP 前 10 名仍然适用于 Web 服务。更详细的资源是Mozilla WebAppSec 指南

“RESTful”网络​​服务不应该有“会话令牌”。相关:“会话真的违反了 RESTful 吗? ” 然而,归根结底,您需要某种令牌来进行身份验证。

简而言之,如果您正在编写会话处理程序来解决现实世界的问题,那么您做错了我们需要的最后一件事是对轮子进行另一次改造。如果您正在为教育目的编写会话处理程序,那么这是一个很棒的学习工具!Mozilla的WebAppSec指南OWASP会话管理小抄有详细的安全会话处理程序的要求。

其它你可能感兴趣的问题
上一篇用户帐户控制和外部进程 下一篇世界上组合的计算机功率因数在合理的时间内能分解出多大的 RSA 密钥?