Защита интерфейсов REST

Question

Каковы общие шаги по обеспечению безопасности интерфейсов REST при экспорте JSON через HTTP?

Вот что я имею в виду (будет использовать oauth2 для аутентификации):

• Sanitize входы как на клиентской и серверной стороне
• Force HTTPS на защищенных конечных точек
• Обеспечение защиты от CSRF (использовать state param в потоке OAuth2)
• Поместить очередь + кэш-память: например, Redis между конечными точками и клиентом, а также между конечными точками и компонентами бэкэнд; чтобы помочь справиться с возможными DDoS [и для общей производительности]
• Обеспечение брандмауэра и других подобных механизмов на месте (безопасности веб-сервер)

Как еще вы могли бы предложить I Задраить люков прежде чем принимать эта система живет?

Answer 1

Мои пункты:

1- Использовать HTTPS во всем, а не только на защищенных конечных точек. Это предотвратит проблемы типа «человек в середине». 2- AFAIK, вам понадобится защита CSRF, только если вы реализуете тип гранта «авторизационный код». 3- Для небольших DDoS-атак используйте что-то вроде mod_evasive от apache, чтобы предотвратить это на уровне веб-сервера, вместо перехода на прикладной уровень. Для основных (в наши дни вы можете арендовать бот-сеть сотен/тысяч компьютеров за несколько сотен долларов), вам понадобится дорогостоящее решение Akamai или что-то подобное.