У нас есть простое приложение API REST, развернутое в bluemix. обслуживающей запрос GET, как этот /api/users/v1/{sensitive-number}/info
Проблемы заключается в том bluemix журналов РТР, как описано здесь cloud-foundry logsКак отключить журналы RTR в приложениях bluemix/cloud-Foundry
всегда держать показывая путь запроса полного GET, который в нашем случае содержит значение {чувствительного числа} в равнине, которую мы хотим либо замаскирован, либо полностью отключите журналы RTR.
На данный момент мы ищем способ полностью ОТКЛЮЧИТЬ журналы RTR в этом случае, возможно ли это?
Я не нашел ссылки на документацию, которая позволяет пользователю сделать это.
Я бы не отправлял важные данные в URL-адрес GET. Другой маршрут, который вы можете попробовать, отправляет эти конфиденциальные данные в виде данных формы с запросом POST. Вы можете прочитать больше здесь: http://security.stackexchange.com/questions/29598/should-sensitive-data-ever-be-passed-in-the-query-string –
Я согласен с вами с точки зрения безопасности, но тогда это идет вразрез с RESTful способом делать вещи, из моих онлайн-исследований, я полагаю, что мы действительно «GET'ing ресурсов в этом случае не« POST »для них. Есть ли что-нибудь, что мы можем сделать, чтобы не показывать полные URL-адреса в журналах (по-прежнему отключать журналы RTR является предпочтительным вариантом для нас - если возможно) –
Действительно ли ваш «чувствительный номер» действительно чувствителен? Например, если это просто UUID, который сопоставлен с профилем или чем-то похожим, действительно ли это нужно скрывать? Если данные, полученные от этого вызова, являются чувствительными, я также предлагаю, чтобы пользователь прошел через токен аутентификации с их запросами, чтобы вы знали, кто запрашивает эту информацию. Также извините, я не знаю, как отключить журналы RTR, я просто вижу, могут ли помочь и другие альтернативы. –