【发布时间】:2019-09-12 22:01:36
【问题描述】:
对于我们的 REST API 架构,我们目前正在考虑两种选择 -
- Json Web Token - 优点是它是行业标准,我们传递了一个添加访问控制层的密钥,使用它我们还可以在后端添加二级授权限制,会话维护和相关安全功能由提供默认情况下是 Django。
缺点是参数对任何人都是开放的,似乎(如果我弄错了,请纠正我)如果有人可以访问我们的链接,他可能会更改未链接的参数核心身份验证过程,从而危及数据。
- 我们开发的内部加密过程可加密所有参数。优点是我们相当肯定它从未被泄露,因为即使链接会落入某人手中,他们也不知道如何解密它以查看参数。
缺点是我们必须通过表中的后端代码管理所有会话数据,因此我们无法利用 Django 功能。此外,我们正在做的事情不是行业标准的想法。
在这种情况下,正确的决策方式是什么,我们应该考虑哪些因素?
【问题讨论】:
-
这可能是一个更好的讨论信息安全的论坛security.stackexchange.com
-
“我们开发的一种内部加密过程可以对所有参数进行加密。优点是我们相当肯定它从未被泄露...” 不。不不不不。 security.stackexchange.com/questions/18197/…