Каковы общие шаги по обеспечению безопасности интерфейсов REST при экспорте JSON через HTTP?Защита интерфейсов REST
Вот что я имею в виду (будет использовать oauth2 для аутентификации):
- Sanitize входы как на клиентской и серверной стороне
- Force HTTPS на защищенных конечных точек
- Обеспечение защиты от CSRF (использовать
state
param в потоке OAuth2) - Поместить очередь + кэш-память: например, Redis между конечными точками и клиентом, а также между конечными точками и компонентами бэкэнд; чтобы помочь справиться с возможными DDoS [и для общей производительности]
- Обеспечение брандмауэра и других подобных механизмов на месте (безопасности веб-сервер)
Как еще вы могли бы предложить I Задраить люков прежде чем принимать эта система живет?