सुरक्षित करने के लिए पर्याप्त हैं I API को सुरक्षित करने का सबसे अच्छा तरीका जानने का प्रयास कर रहा हूं। मैं केवल एसएसएल की अनुमति देता हूं और मैं प्रमाणीकरण के लिए OAuth2 का उपयोग कर रहा हूं, लेकिन यह पर्याप्त प्रतीत नहीं होता है।ओएथ 2 और एसएसएल एपीआई
मेरी बड़ी चिंता यह है कि कोई भी वैध क्लाइंट द्वारा एपीआई के अनुरोधों का निरीक्षण कर सकता है और OAuth client_id चुरा सकता है। उस समय वे वैध ग्राहक का प्रतिरूपण करना चाहते हैं, वे किसी भी अनुरोध का निर्माण करने में सक्षम होंगे।
क्या इसे रोकने के लिए कोई तरीका है? मैंने लोगों को केवल क्लाइंट और सर्वर के लिए जाने वाली एक गुप्त कुंजी का उपयोग करके पैरामीटर के एचएमएसी हैश का उपयोग किया है, लेकिन मुझे इसके साथ 2 समस्याएं दिखाई देती हैं।
- दुर्भावनापूर्ण उपयोगकर्ता को आपके ग्राहक को अपनाने और गुप्त कुंजी को समझने से रोकने के लिए यह बहुत मुश्किल (असंभव?) है।
- कुछ पैरामीटर एचएमएसी हैश बनाने के लिए अजीब लगते हैं। उदाहरण के लिए यदि कोई पैरामीटर फ़ाइल के बाइट्स था, तो क्या आप अपनी एचएमएसी हैश में पूरी चीज शामिल करते हैं?
ओएथ चरण एसएसएल से अधिक है। मैं एक एपीआई की रक्षा करने की कोशिश कर रहा हूं जिसे उपयोगकर्ता मशीन पर चल रहे कई अलग-अलग ग्राहकों द्वारा बुलाया जाएगा। OAuth प्रवाह से प्राप्त ऑथ कोड अनुरोध के प्राधिकरण शीर्षलेख में सभी API कॉलों को पास किया जाता है। कोड को तब सर्वर पर सत्यापित किया जाता है। – Evan
यह ओएथ 2 है, इसे एसएसएल से अधिक होना चाहिए। –