- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我一直致力于一个基于 Symfony2(用于后端)和 AngularJS 用于前端的电子商务项目。目前 Symfony 部分仅用作 API,它具有三个不同的用户级别( guest 、客户和管理员)。可以在系统内完成的不同操作(如添加/删除数据)受以下因素保护:
对于安全的部分,一切都按预期工作,我对工作方式非常满意。
问题:
API 的某些部分是公开的(例如检索产品信息、类别等)。我正在使用 Ajax 调用我的 API 以 JSON 格式返回数据,从而在 Angular 中检索此类数据。一个例子是:
/api/product/get-all/?page=1&count=10&sorting[id]=asc
问题是任何人都可以在浏览器中查看请求并复制路径并访问所有数据(例如所有产品)并且可以下载所有信息的 JSON。尽管这些数据是“公开的”,但我不想让其他人轻松地“窃取”我的数据。
想法和可能的解决方案:
你怎么看?这是一个可能的解决方案吗?
我还在 StackOverflow 上阅读了其他一些问题,我可以检查请求中的 HTTP_X_REQUESTED_WITH header ,但我们都知道这很容易被攻击者欺骗。
最后,我在这里阅读了与“解决方案”1) 类似的方法:http://engineering.talis.com/articles/elegant-api-auth-angular-js/但我不确定这是否符合我的目的。
补充说明:
感谢您花时间阅读我的问题,我期待您的任何反馈。
最佳答案
您可以通过多种方式限制对您系统的滥用,包括:
限制 API 在需要验证码或其他验证方法之前返回的请求总数。这可以通过 IP、浏览器指纹、身份验证 token 等进行限制。
通过使用 GUID 或其他随机生成的 ID,让滥用者难以猜测产品、类别等的 ID。
使用 API 管理代理(例如 Azure API 管理)对 API 进行更多的企业级管理 (http://justazure.com/azure-api-management-part-one-introduction/)
关于php - Symfony2 RESTful API + AngularJS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31531977/
我开始从事一个用 Symfony 2.8 编写的大型项目。将整个项目升级到 SF 3 需要数百小时,现在还不可能。我想到了一个想法,将 symfony/symfony 包解压到它替换的单个包中(com
我在提交表单后使用 FOSUserEvents,但订阅者调用了两次。 这样我的验证码第一次有效第二次无效 这是我的代码 router = $router; $this->request
我有以下路线: blog_show: path: /test/123 defaults: { _controller: TotalcanBravofillBundle:Te
我是测试新手。我想测试我的功能。我已经成功安装了 phpUnit。我在互联网上查看了许多教程。但我无法获得有关测试的正确信息。这是我的功能代码: public function loginAction
我正在尝试重现 facebook batch requests 的行为在他们的图形 api 上运行。 所以我认为最简单的解决方案是在 Controller 上向我的应用程序发出几个请求,例如: pub
在 Symfony Progress Bar documentation有一个超酷酒吧的示例图像。不幸的是,看起来文档的其余部分没有解释如何获得这样的结果。 这是图片,以防您错过: 我怎么才能得到它?
我使用Finder发送假脱机电子邮件,但是自动名称生成器将点放在文件名中,有时它们出现在文件的开头。 查找程序似乎无法获取具有该名称的文件-那些文件被隐藏了……有人经历过这种行为吗?有什么建议如何使用
我正在尝试进行 LDAP 身份验证,我目前遇到此类错误: ServiceNotFoundException: The service "security.firewall.map.context.ma
有没有办法验证和检查集合数组是否为空。我已经尝试过: /** * @Assert\NotBlank() * @Assert\Length( min = 1) */ protected $work
使用Smyfony2和Doctrin2,可以使用以下示例创建数据固定装置:http://symfony.com/doc/current/bundles/DoctrineFixturesBundle/i
我看到在大多数Symfony 2示例中,例如,不存在记录时,Symfony 2会引发异常。我认为这种方法对最终用户不友好。为什么有人更喜欢引发异常而不在Flashbag上添加一些错误消息? 最佳答案
我对项目中的以下服务有疑问: app.security.guardAuthenticatorLoginPassword: class: AppBundle\Security\LoginPa
symfony缓存和登录Docker容器存在问题。 Web服务器从www-data用户和组执行,当我使用docker上安装的php从docker容器中清除symfony缓存时,它从root执行。 因此
我想了解 symfony 中的服务 我已阅读http://symfony.com/doc/2.3/book/service_container.html#creating-configuring-se
因为我对 Symfony 和 Doctrine 还很陌生,所以我有一个可能很愚蠢的问题;-) 有人可以用简单的词语向我解释集合(尤其是实体中的ArrayCollections)吗?它是什么以及何时以及
我收到了这个表格: {{ form_start(form) }} {{ form_end(form) }} 我想检查用户是否登录,我这样做了: {% if is_g
我的网站已准备好部署,我正在尝试将其设置为在线。 一些信息: 主持人是 OVH。 它不允许 SSH,我必须使用 FTP 发送文件。也没有命令行。 我现在希望能够在子目录中设置网站:/www/test(
过去几个月以来,我一直在尝试与symfony合作。昨晚我自动删除了不需要的存储库。之后,我无法使用symfony命令创建新的symfony项目。当我在终端中运行Symfony new Security
In the environnement variable, then in system variable, I edited the path and added在环境变量中,然后在系统变量
我们有一个 Symfony 1.4 应用程序,想升级到 Symfony 4。是否有可能或者我们必须重新编程该应用程序? 我们询问了我们附近的一家软件公司,他们告诉我们必须重新编写应用程序。 最佳答案
我是一名优秀的程序员,十分优秀!