В настоящее время я создаю несколько веб-приложений (построенных как SPA с помощью Angular), подключенных к API. Эти приложения и API используют SSL.SSL: Нужно ли защищать каждую конечную точку
Недавно некоторые из наших клиентов должны были подключиться к нашему API для целей аутентификации (используя грант Credentials для пароля владельца ресурса от OAuth2), но его сайт не является с использованием SSL.
Так что мой вопрос связан с безопасностью. Если API использует SSL, но источник запроса (веб-сайт моего клиента) нет, являются ли данные отправлены в API безопасными?
Использование учетных данных пароля владельца ресурса Предоставление от OAuth2, учетные данные пользователя фактически отправляются как POST в API. Эти ДОЛЖНЫ быть зашифрованы (атака «человек-в-середине»).
Из того, что я понял, он по-прежнему безопасен, так как клиенту необходимо рукопожатие на сервере, используя его шифр. Но я хотел бы быть уверенным, поэтому объяснение более чем приветствуется.
Спасибо за ваш ответ. Таким образом, фактическое поведение заключается в том, что на веб-сайте клиента будет форма входа. При отправке данные будут передаваться асинхронно (Ajax) в API. Безопасны ли данные в этом случае? – lkartono
@lkartono: транспорт данных защищен только от веб-сайта до вашего API, а не между браузером и веб-сайтом. Это означает, что они явно не защищены, поскольку они могут быть перехвачены злоумышленником между браузером и веб-сайтом. –
Имеет большой смысл. Благодаря :) – lkartono