个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
25
4
我想构建以下项目:
事实上,我的架构中有三个部分:前端,它是后端的客户端,后端和想要在前端登录页面上进行身份验证的用户。
保护此架构中涉及的三方的最佳方式是什么?
事实上,我认为如果我在 javascript 中做所有事情,就不可能在前端做一个安全的应用程序,所以我打算将身份验证/授权委托(delegate)给服务器前端的代理层。你怎么看?
我打算使用 OAuth 来保护我的 REST 后端,但我不确定我是否必须使用 2 条腿或 3 条腿的实现。在这种情况下,正确的方法是什么?
更新:在 SO 网站上进行更深入的搜索时,我发现了这个 thread这正是我想做的,除了我想在服务器端使用 Java 而不是 DotNet。如果我理解得很好,实际上我的网站就像我的 REST API 的任何客户端一样,除了它是唯一有权创建新用户帐户的网站。因为,如果我的 REST API 只能通过 OAuth 访问(比如 Twitter 的),那么谁可以之前执行用户帐户创建?我说得对吗?
最佳答案
此架构安全性的一个主要问题是测试。自动化工具将无法测试此系统的常见漏洞,如 SQL 注入(inject),Direct Object Reference .用于测试奇怪架构的有用工具是 OWASP 的开源 Zed Attack Proxy或专有的 BURP 代理。测试将非常耗时,并且需要对 Web 应用程序漏洞有深入了解的人员。我们通常将这些人称为渗透测试人员。
保持 session 状态的 RESTful 形式是使用 HMAC以保护值不被修改。然而,这是对密码学的滥用,因为它为攻击打开了大门。攻击者可以暴力破解您的 HMAC 中使用的 key ,然后修改诸如他的 session ID 之类的值,或者以其他方式获得对系统上另一个帐户的访问权限。只有在别无选择时才应使用密码术。通过将 session 状态存储在非 RESTful 的数据库中,可以完全防止此漏洞。
关于java - 保护 JavaScript 前端/REST 后端架构网站的最佳方式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8546061/
25
4
0
我一直在阅读有关汇编函数的内容,但对于是使用进入和退出还是仅使用调用/返回指令来快速执行,我感到很困惑。一种方式快而另一种方式更小吗?例如,在不内联函数的情况下,在汇编中执行此操作的最快(stdcal
我正在处理一个元组列表,如下所示: res = [('stori', 'JJ'), ('man', 'NN'), ('unnatur', 'JJ'), ('feel', 'NN'), ('pig',
最近我一直在做很多网络或 IO 绑定(bind)操作,使用线程有助于加快代码速度。我注意到我一直在一遍又一遍地编写这样的代码: threads = [] for machine, user, data
假设我有一个名为 user_stats 的资源,其中包含用户拥有的帖子、评论、喜欢和关注者的数量。是否有一种 RESTful 方式只询问该统计数据的一部分(即,对于 user_stats/3,请告诉我
我有一个简单的 api,它的工作原理是这样的: 用户创建一个请求 ( POST /requests ) 另一个用户检索所有请求 ( GET /requests ) 然后向请求添加报价 ( POST /
考虑以下 CDK Python 中的示例(对于这个问题,不需要 AWS 知识,这应该对基本上任何构建器模式都有效,我只是在这个示例中使用 CDK,因为我使用这个库遇到了这个问题。): from aws
Scala 中管理对象池的首选方法是什么? 我需要单线程创建和删除大规模对象(不需要同步)。在 C++ 中,我使用了静态对象数组。 在 Scala 中处理它的惯用和有效方法是什么? 最佳答案 我会把它
我有一个带有一些内置方法的类。这是该类的抽象示例: class Foo: def __init__(self): self.a = 0 self.b = 0
返回和检查方法执行的 Pythonic 方式 我目前在 python 代码中使用 golang 编码风格,决定移动 pythonic 方式 例子: import sys from typing imp
我正在开发一个 RESTful API。其中一个 URL 允许调用者通过 id 请求特定人员的记录。 返回该 id 不存在的记录的常规值是什么?服务器是否应该发回一个空对象或者一个 404,或者其他什
我正在使用 pathlib.Path() 检查文件是否存在,并使用 rasterio 将其作为图像打开. filename = pathlib.Path("./my_file-name.tif") 但
我正在寻找一种 Pythonic 方式来从列表和字典创建嵌套字典。以下两个语句产生相同的结果: a = [3, 4] b = {'a': 1, 'b': 2} c = dict(zip(b, a))
我有一个正在操裁剪理设备的脚本。设备有时会发生物理故障,当它发生时,我想重置设备并继续执行脚本。我有这个: while True: do_device_control() device
做组合别名的最pythonic和正确的方法是什么? 这是一个假设的场景: class House: def cleanup(self, arg1, arg2, kwarg1=False):
我正在开发一个小型客户端服务器程序来收集订单。我想以“REST(ful)方式”来做到这一点。 我想做的是: 收集所有订单行(产品和数量)并将完整订单发送到服务器 目前我看到有两种选择: 将每个订单行发
我知道在 Groovy 中您可以使用字符串调用类/对象上的方法。例如: Foo."get"(1) /* or */ String meth = "get" Foo."$meth"(1) 有没有办法
在 ECMAScript6 中,您可以使用扩展运算符来解构这样的对象 const {a, ...rest} = obj; 它将 obj 浅拷贝到 rest,不带属性 a。 有没有一种干净的方法可以在
我有几个函数返回数字或None。我希望我的包装函数返回第一个不是 None 的结果。除了下面的方法之外,还有其他方法吗? def func1(): return None def func2(
假设我想设计一个 REST api 来讨论歌曲、专辑和艺术家(实际上我就是这样做的,就像我之前的 1312414 个人一样)。 歌曲资源始终与其所属专辑相关联。相反,专辑资源与其包含的所有歌曲相关联。
这是我认为必须经常出现的问题,但我一直无法找到一个好的解决方案。假设我有一个函数,它可以作为参数传递一个开放资源(如文件或数据库连接对象),或者需要自己创建一个。如果函数需要自己打开文件,最佳实践通常
我是一名优秀的程序员,十分优秀!