【问题标题】:Security between Client and RESTful Service客户端和 RESTful 服务之间的安全性
【发布时间】:2017-03-10 17:12:51
【问题描述】:

我有一个架构问题需要一些建议。

我目前有一个用Ionic2 编写的客户端,计划部署到iOSAndroidWeb Browser

我有一个在 AWS 上运行的 Tomcat 服务器,Java8/Spring RESTful Web ServicesMYSQL 数据库通信。

我也在使用Firebase Authentication。如果用户未登录,他们可以访问该应用程序,并且一旦登录就可以访问更多功能。

因此,用户数据以uid 作为键存储在Firebase 中。相应的用户数据也存储在MYSQL数据库中。

我还计划添加一个PayPal 支付网关。

问题

我不是安全架构方面的专家。所以我的问题是,我应该有哪些安全考虑?

我假设支付网关是安全的,因为我将与PayPal api 交互。

其次,目前Ionic2 应用程序通过HTTPJava RESTful Services 通信。我应该保护这些请求/响应调用吗?

关于RESTful Service 调用,我只在一次调用中传输敏感信息,所以想确保它的安全。否则没有敏感信息,但我不希望应用程序受到任何恶意行为。

如您所见,这是一个非常开放的问题,但我正在寻找有关正确架构路径的指导。

感谢任何建议。

【问题讨论】:

    标签: security spring-security ionic2


    【解决方案1】:

    关于安全方面的考虑,OWASP(Open Web Application Security Project)为REST服务提供了一个非常好的方向here。第一次看它可能会让人不知所措,但取决于你想要实现它们的深度,这取决于你的 API 中信息的敏感性以及如果有人利用你的 API 中的漏洞所产生的影响。

    但是,我建议对所有 API 使用 HTTPS 而不是 HTTP。

    【讨论】:

      【解决方案2】:

      如果是基于 Spring 的应用程序,那么我推荐使用 Spring JWT(Json Web Token)。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2010-12-25
        • 1970-01-01
        • 2012-03-22
        • 2014-11-05
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多