【发布时间】:2017-02-01 04:39:16
【问题描述】:
我目前正在为银行开发 Rest API。在 Rest API 原则中,URI 是唯一标识。这意味着我们必须在请求 URL 中传递资源 ID 例如:
- GET /customer/
- PUT /客户/
- 删除/客户/
但问题在于我的银行出于安全原因禁止在 URI 中传递 id。 (URI可以读取任何一个)
有人可以告诉我,在不违反 Rest 资源命名原则的情况下,是否有任何行业级别的最佳实践来克服此安全问题?
【问题讨论】:
-
您确定禁止将 ID 放入 URI 中吗?我知道他们不希望您传递任何敏感数据,例如会话 ID 或信用卡号,由于多种原因,这确实是最佳做法(请求 URL 登录客户端、代理,也可以在监视器上看到有时等)但是一般来说有任何资源ID吗?这没有多大意义。
标签: spring rest security uri microservices