如何在传输过程中保护 REST API 有效负载？

Question

我正在尝试寻找保护 REST API 通信的方法。以下是考虑的项目。

• 使用 JWT 启用基于令牌的身份验证
• 启用 HTTPS 并限制通过 HTTP 的请求

我们的 GUI 与如上所述受到保护的服务层 API 交互。来自 GUI 的所有请求都包含敏感信息，因此必须在每个地方保护数据。

简而言之，我们的 GUI 使用基于角色的身份验证进行保护，并且 API 如上所述进行保护。我还是觉得 GUI 和服务之间的通信不够安全。

• 来自 GUI 的负载是否足够安全？还是应该从 GUI 本身加密有效负载？

如果这不是问这个问题的正确地方，我很乐意将它移到正确的地方。

请指教！ 提前谢谢你

Answer 1

我从帖子中了解到，您的 GUI 是基于安全角色的，并且 api 使用令牌和 https 来保护。

除此之外，据我了解，您的应用过于敏感，在这种情况下，我会执行以下操作以添加一些额外的安全层。

1. 为 GUI 添加两步验证，以确保正确的人始终登录。

2. 加密数据（即有效负载）可能使用公钥/私钥。在这种情况下，服务器端需要稍作更改，因为它需要解密请求。

3. 确保您的令牌有生命周期并在特定时间后过期。

如果您正在寻找其他东西，请告诉我。