В настоящее время я разрабатываю API REST/JSON с использованием Play Framework 2.3. В настоящее время я думаю об эффективном, но простом способе защиты API. По соображениям безопасности я подразумеваю, что для некоторых действий конечный пользователь должен быть аутентифицирован для принятия.Защита API REST, разработанного с помощью платформы Play Framework
На данный момент я полагался на управление сеансом Play Framework (в качестве напоминания он хранит все данные сеанса в подписанном файле cookie, который отправляется в каждом запросе, как таковой, он не имеет состояния и хотя cookie может читается клиентом, он не может быть обновлен).
Поток довольно прост:
- Конечный пользователь логины благодаря клиенту API отправки запроса логина
- Если он будет принят, печенье устанавливается в ответ
- При отправке следующих запросов , клиент API автоматически добавляет куки-файл, поэтому конечный пользователь распознается API
Мой вопрос в следующем: действительно ли мне нужно идти дальше с точки зрения безопасности? Я не могу найти причину, почему этот существующий механизм не будет работать правильно ...
Заранее благодарим!
PS: На данный момент я являюсь разработчиком и потребителем API, и нет никакого плана публиковать его публично.
PPS: клиент Я занимаюсь разработкой простой веб-приложение с использованием AngularJS
Я не понимаю вопрос, потому что «дальше» очень широк. Почему вы налагаете дополнительные ограничения безопасности на себя, зная, что вы единственный потребитель? Что вас беспокоит - просто общие рекомендации по безопасности, целостность безопасности системы или что-то еще? – Chrizt0f
Это правда, что, как я уже сказал, API не является общедоступным. В этом контексте, это просто гарантировать, что я не забуду что-то большое, что может вызвать дыру в безопасности (так что лучшие практики). Но, честно говоря, мой вопрос также относится к другим вариантам использования с публичным API. –
Ознакомьтесь с этой статьей, в которой объясняется подделка запроса на использование сайта в контексте игры [18076206] (http://stackoverflow.com/questions/18076206/how-do-i-secure-my-rest-api-developed-in- playframework? rq = 1) и собственной игры [документации] (https://www.playframework.com/documentation/2.4.x/ScalaCsrf) по проблеме – Chrizt0f