【问题标题】:How to secure REST API PUT/POST calls being called manually through postman如何保护通过邮递员手动调用的 REST API PUT/POST 调用
【发布时间】:2018-05-10 01:29:19
【问题描述】:

其实我有一个 API 叫做更新用户数据,当用户从一个页面移动到另一个页面时调用它。如果用户从控制台复制 API 并在邮递员中发布,用户应该无法更新用户数据。如何提供安全性或实现功能以不通过 post man 更新数据。

【问题讨论】:

  • 在您的 API 中包含身份验证和授权工具。

标签: rest api security postman


【解决方案1】:

你真的不能。

您可以使用一些 CSRF 保护稍微让它变得更难,但仅此而已 - 它只会让它变得更难一点,但不会阻止任何人下定决心。

如果您的 API 是公开的,您应该准备好让您的用户拥有自定义客户端应用程序。

【讨论】:

    【解决方案2】:

    我对你的问题有点困惑。因为 PostMan 或其他应用程序(如 Fiddler)的创建是为了让开发人员在开发过程中更轻松地完成工作。无论如何,如果您担心谁会调用您的网页,您可以将您的 API 设为私有,并且只向拥有正确凭据的用户授予访问权限。您还可以阅读 CSRFXSS

    【讨论】:

      猜你喜欢
      • 2017-12-03
      • 1970-01-01
      • 2020-03-17
      • 2021-05-30
      • 2018-11-15
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多