【发布时间】:2015-11-26 18:23:52
【问题描述】:
这是我的带有两个 URL 的小 API:
/api/location/list -> GET/api/location/detail -> GET
我正在寻找一种通过身份验证来保护此服务的流程。目前,它只能由一个用户(我)访问。
我认为 oAuth 对我来说太复杂了,我发现这个资源用于设计 a simple API。 我了解私钥/公钥和 HMAC 的原理,但我对此非常担心:
假设我的网络服务被一个带有 GET 动词的 ajax 请求所消耗。我有类似/api/location/list?apikkey=userid&hash=abcde 的东西。
最终用户可以在请求期间轻松嗅探网络(通过简单的 chrome 控制台),捕获完整 url 并多次直接访问服务(我认为这是重放攻击的情况)。
不同的资源谈论时间戳或随机数以使请求唯一,但我对实现有点迷茫。
有什么想法吗?
【问题讨论】:
-
你使用什么技术?
-
PHP 和 Symfony 2 框架
标签: web-services api rest security