程序员经验分享-hwhale

如何在没有 SSL 的情况下接受 Web API 上的身份验证?

2024-02-22

我正在构建一个与以下内容非常相似的 Web API堆栈溢出 http://api.stackoverflow.com提供。

然而,就我而言,安全很重要,因为数据是私有的。

  • 我必须使用 HTTP。
  • 我无法使用 SSL。

您向我推荐什么解决方案?

EDIT: 认证!=加密


几乎每个公共 API 都是通过为每个 Web 请求传递身份验证令牌来工作的。

该令牌通常以两种方式之一分配。

首先,一些其他机制(通常登录到网站)将允许开发人员检索永久令牌以在其特定应用程序中使用。

另一种方法是根据请求提供临时令牌。通常,您有一个 Web 方法,他们会向您传递用户名/密码,然后您根据是否经过身份验证并被授权执行任何 API 操作,返回一个有限使用令牌。

开发人员获得令牌后,会将其作为参数传递给您公开的每个 Web 方法。您的方法将在执行操作之前首先验证令牌。

附带说明一下,您关于“安全很重要”的评论显然是不正确的。如果是的话,您可以通过 SSL 来执行此操作。

在任何情况下,我什至都不认为这是“最低”安全性,因为它只会提供一种错误的信念,即您拥有任何类型的安全性。正如皮斯克沃尔指出的那样,任何有一点点兴趣的人都可以监听或以某种方式打破这一点。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

API

authentication

如何在没有 SSL 的情况下接受 Web API 上的身份验证? 的相关文章

  • Sage One API - unsupported_grant_type

    我正在尝试通过以下方式获取 Sage One API 的访问令牌docs https developers sageone com docs en v1 authentication request access token using G

  • 请确保至少一个领域可以验证这些令牌

    所以我把我的shiro设置为有两个Realms 用户名和密码领域 使用标准 UsernamePasswordToken 我还设置了一个自定义承载身份验证令牌 用于处理从用户传入的令牌 如果我只使用我的passwordValidatorRea

  • SharePoint Online 身份验证失败

    我有一个 C 应用程序 它通过使用 Web 请求对 SharePoint Online 进行身份验证 它对我来说非常有用 但其他人收到以下错误

  • 正确使用 EncryptedSharedPreferences

    Android 最近发布了 EncryptedSharedPreferences 它自动加密 SharedPreferences 键 值数据 虽然这很好 但我发现我可以简单地连接 API 调用并检索解密的值 除了在调用 EncryptedS

  • 是否可以从 .apk 文件获取 Android.mk 或本机源文件?

    看来从 apk文件中获取Java源文件是很容易的 但是否有可能得到Android mk or native通过工具或棘手的方法从 apk 文件中获取源文件 我正在研究 Android 应用程序本机代码安全性 因此这些文件对我来说非常重要 谢

  • 使用curl登录并获取会话

    你好 我需要以某种方式获得最高区域的兴趣和随着时间的推移的兴趣 或更好 所以我发现我们必须登录才能导出数据有人可以给我一个使用我们的谷歌用户名和密码执行此操作的示例吗 也许使用curl来导出数据 或者是其他东西 感谢您的关注 亚当 拉马丹

  • 有什么方法可以获取给定 Instagram 位置 id 的地方的 foursquare 场地 id 吗?

    Instagram 位置是从 foursquare 场地列表中选择的 并且绝对可以在给定 foursquare 场地 ID 的情况下搜索 Instagram 位置 但我有一篇 Instagram 帖子 想找到它对应的 foursquare

  • 了解 ASP.NET 应用程序文件夹

    ASP NET 中的应用程序文件夹用于存储对运行网站至关重要的各种元素 我想更深入地了解这些文件夹 特别是文件夹的可访问性 根据有关的文章ASP NET 网站布局 http msdn microsoft com en us library

  • 确定用于映射网络驱动器的域和用户名

    使用带有 SP1 的 Windows 7 Enterprise 但我希望得到适用于 Windows XP 2003 2008 Vista 7 的通用答案 从命令提示符处 我执行net use命令将 Z 驱动器映射到另一台计算机上的共享 但我

  • SSLContext 初始化

    我正在看JSSE参考指南 我需要获取一个实例SSLContext为了创建一个SSLEngine 所以我可以使用它Netty以启用安全性 获取实例SSLContext I use SSLContext getInstance 我看到该方法被重

  • 如何在 Web 表单中进行 Html.Encode

    我有一个 ASP NET Web 窗体应用程序 有一个带有文本框的页面 用户在其中输入搜索词用于查询数据库 我知道我需要防止 JavaScript 注入攻击 我该怎么做呢 在 MVC 中我会使用Html Encode Web 表单中似乎无法

  • SoftLayer_Account::getOperatingSystemReloadImages

    我想在 OSReload 期间使用 API 获取可用操作系统列表 我发现提到了 SoftLayer Account getOperatingSystemReloadImages 方法 但找不到该方法的用法 谁能帮我解决这个问题 谢谢 我找不

  • 使用 VB/ASP classic 可以向 API 发出 HTTP 请求吗?

    是否可以使用 ASP classic 向 Web API 发出请求 例如 像 Flickr API 这样简单的东西 或者这种东西很久以前就不支持了 这是很有可能的 Dim req Set req Server CreateObject MS

  • 删除或更新 HDF5 中的数据集?

    我想以编程方式更改与 HDF5 文件中的数据集关联的数据 我似乎找不到一种方法来按名称删除数据集 允许我使用修改后的数据再次添加它 或按名称更新数据集 我正在使用 HDF5 1 6 x 的 C API 但指向任何 HDF5 API 的指针都

  • 什么是“声明式安全”?一般来说

    这个问题的答案 声明式安全 这是什么 https stackoverflow com questions 1210609并没有告诉我太多 坦率地说 根本没有告诉我任何事情 我看到一篇关于 NET 性能的博客 其中提到了这一点 您使用声明式安

  • Symfony2 Secure by IP 不起作用

    在我的 Symfony 2 3 1 Security YML 中 我有这一行 安全 yml access control path mysecurearea roles IS AUTHENTICATED ANONYMOUSLY ip 0 0

  • Spring Security从数据库获取用户ID

    我正在使用 spring security 进行身份验证并成功获得User目的 org springframework security core userdetails User 任何我需要的地方 但我想要UserId还有 春天里没有的U

  • iOS 相互认证

    我正在尝试在 IOS 5 中实现相互身份验证 但遇到了麻烦 NSUnderlyingError Error Domain kCFErrorDomainCFNetwork Code 1200 An SSL error has occurred

  • Python,Google Places API - 给定一组纬度/经度查找附近的地点

    我有一个由商店 ID 及其纬度 经度组成的数据框 我想迭代该数据框 并使用 google api 为每个商店 ID 查找附近的关键地点 例如输入 Store ID LAT LON 1 1 222 2 222 2 2 334 4 555 3

  • 即使通过 ssl,在 ViewState 中存储信用卡和定价信息是否安全?

    我有一个带有私有属性的页面 该页面在视图状态中存储信用卡对象和购物车对象 以便我可以在回发期间维护对它们的引用 顺便说一句 涉及的页面将使用 SSL 这安全吗 我不会在视图状态中存储敏感信息 ever 通过这样做 您将安全性委托给浏览器的实

随机推荐

  • AngularJS 在 div 中预先输入搜索结果

    我使用 Bootstrap 的 typeahead 进行文本输入 该输入还有一个按钮可以弹出流行的结果弹出窗口 我想要预输入的功能 只是结果列表将显示在不同的 div 中 在弹出窗口内而不是在文本输入下 有没有办法为预先输入搜索结果设置 容

  • generic.GenericForeignKey() 字段可以为 Null 吗?

    我正在创建一个对象 该对象跟踪有关其他所谓的创建 更新和删除的更改 更新 UUIDSyncable数据库中的对象 这涉及任何扩展的对象UUIDSyncable班级的save and delete 方法被重写 从而创建一个新的Update记录

  • Android 中订阅 BLE 指示的示例

    我已连接到蓝牙设备 我能够使用读取特征 mGatt readCharacteristic getMiliService getCharacteristic uuid 但我无法注册某个特征的指示 我尝试过的 boolean flag1 m G

  • 如何在PythonMagick中处理多页图像?

    我想将一些多页 tiff 或 pdf 文件转换为单独的 png 图像 从命令行 使用 ImageMagick 我只是这样做 convert multi page pdf file out png 我将所有页面作为单独的图像 file out

  • 逐行读取并获取上一行和下一行

    我正在尝试逐行读取文件并获取当前行 上一行和下一行 例如 line1 line2 line3 line4 我想要的是 None line1 line2 line1 line2 line3 line2 line3 line4 这是我的尝试 p

  • 链接器符号 __TMC_END__ 和 __TMC_LIST__ 的用途是什么?

    我问过这个问题 https stackoverflow com questions 17605034 linker script relocate section并偶然发现 TMC END 似乎是由链接器生成的符号 我不知道它的目的是什么

  • /usr/bin/env: ln: 符号链接级别太多

    这个问题快要了我的命 我觉得我已经尝试了一切 首先 问题是在升级到 Capistrano 3 时开始出现的 Capistrano 现在在部署时在每个命令之前使用 usr bin env 以确保环境设置正确 当 Capistrano 创建指向

  • 在 Spring 测试中使用 @Autowired NoSuchBeanDefinitionException

    我有 spring mvc security 项目 我正在尝试从 JavaConfig 为其中一个控制器创建 junit 测试 但是当我使用 Autowired我得到异常 Caused by org springframework bean

  • 在 C# 测试装置中从 Nunit3 获取参数

    我使用 Nunit3 版本中提供的 params 参数来传递多个参数 但是 我无法使用 C 测试装置获取它们 我已经搜索过但无法得到正确的结果 有人可以向我提供有关如何在 C 中获取这些 param 参数的指示吗 任何帮助将不胜感激 提前致

  • 在 Premesis 或 Bluemix 等 PaaS 上使用 XPage 进行 DevOps

    使用 XPage 实现 DevOps 的最佳方式是什么 多个开发人员作为一个团队工作 本地服务器 Dev QA Prod 我们可以复制到 Bluemix 吗 源代码控制自动化测试 UI 应用程序 使用测试框架对业务逻辑进行单元测试 自动化部

  • 没有 Eclipse 的 JDT?

    前段时间我写了一个 Eclipse 插件 它利用 JDT 来做一些解析 现在我正在考虑制作这个应用程序的命令行版本 当然 我希望重用解析代码 因此我需要让 JDT 在 Eclipse 之外工作 有什么方法可以实现这一点 也许构建一些包装器等

  • 如何将

    我有一个 div 我想旋转 90 度 div div 我怎样才能做到这一点 你需要 CSS 来实现这一点 例如 container 2 webkit transform rotate 90deg moz transform rotate 9

  • 根据方位角和距离计算纬度和经度

    我很难理解三角学 我试图从起始纬度 对数 距离和方位推断出目的地纬度和经度 幸运的是 我发现了一个很棒的网站 它准确地描述了我需要的功能 http www movable type co uk scripts latlong html ht

  • 如何检查 alamofire 中的互联网连接?

    我正在使用下面的代码在服务器中发出 HTTP 请求 现在我想知道它是否连接到互联网 下面是我的代码 let request Alamofire request completeURL domainName path method metho

  • 使用Output0Buffer类时SSIS脚本转换错误

    我试图通过提供用 c 编写的脚本来帮助我们的 dba 以便他可以在他的 ScriptComponent 中使用它 我有一个输入文件 逐行处理它并在 Output0Buffer 中创建一行 如中所述 我已经编写了测试方法并且工作正常 但是在将

  • 如何使用邮递员发布对象和列表

    我在用邮递员打包的应用程序 https chrome google com webstore detail postman fhbjgbiflinjbdggehcddcbncdddomop hl en发送帖子请求 我想请求以下控制器 如何使

  • 给定的 ColumnMapping 与源或目标中的任何列都不匹配

    我不知道为什么我会遇到上述异常 请有人看看 DataTable DataTable Time new DataTable Star Schema Dimension Time DataColumn Sowing Day new DataCo

  • 在选项卡栏控制器 -> 导航控制器 -> 视图控制器的层次结构中旋转视图控制器

    我的应用程序的视图控制器层次结构设置如下 UITabBarController UINavigationController UIViewController UINavigationController UIViewController

  • 有没有 SMTP 转 HTTP 的免费服务(Email 转 POST)?

    有人向我指出了该服务smtp2web http www smtp2web com 不久前 但我一直在尝试 但似乎不起作用 还有其他人吗 有什么方法可以在红宝石中实现这一点吗 我写一封电子邮件并发送给lanceJpollard smtp2we

  • 如何在没有 SSL 的情况下接受 Web API 上的身份验证?

    我正在构建一个与以下内容非常相似的 Web API堆栈溢出 http api stackoverflow com提供 然而 就我而言 安全很重要 因为数据是私有的 我必须使用 HTTP 我无法使用 SSL 您向我推荐什么解决方案 EDIT

热门标签