sallay_5
sallay_5
采纳率0%
2015-04-01 18:23

怎么做能提供RESTful的安全性?

在企业级应用中,iOS和Java之间用RESTful通信,如果想提高安全性,用什么比较好?OAuth是不是一种选择?还有其他的吗?

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享
  • 邀请回答

4条回答

  • oyljerry oyljerry 6年前

    有限考虑用HTTPS,然后就是访问的时候,需要提供Token信息等来进一步认证

    点赞 评论 复制链接分享
  • caozhy 回答这么多问题就耍赖把我的积分一笔勾销了 6年前

    首先要搞清楚为什么不安全。
    主要存在如下几种形式的威胁:
    (1)调用的往返数据被窃听,以至于其中包含的诸如密码、账户、返回的数据、敏感信息等泄露
    (2)篡改,数据请求或者返回被中间节点服务器篡改,也包括故障而丢失数据,而对此客户端服务器端毫不察觉
    (3)冒用身份,第三方攻击者拿到窃听的账户,以用户的身份调用,而服务器误以为是用户的请求,而进行不允许的操作
    冒用身份还有一种就是冒用服务器,客户端是真实的,而攻击者使用代理服务器或者钓鱼网站或者dns污染的形式伪造一个假的服务器,从而欺骗用户提交业务数据和账户
    (4)滥用,比如DDoS攻击,恶意的客户端发送错误的,不合规的数据,大量发送请求,等等

    对于这些问题,必须在通讯层面、应用层面、会话层面都加以防范,而不是仅仅用某个协议某个框架就能搞定的。

    点赞 1 评论 复制链接分享
  • starfd 娃都会打酱油了 6年前

    OAuth,这个貌似就一种标准实现
    HMAC,这个具体有好几种实现

    点赞 评论 复制链接分享
  • Forty2 理论自信不靠删贴 6年前

    如果是https,那么可以用Basic,Digest,客户证书等常规的验证,还可以做HMAC。
    如果是http,那么可以做HMAC,但由于通讯不安全,可能还要自己进行内容加密。

    点赞 评论 复制链接分享

为你推荐