0
我正在構建REST API並使用oAuth進行授權。我的問題是,在包含數據的PUT和POST請求的情況下,我是否需要對請求的主體做任何事情?如果這有什麼不同,我使用SSL。我是否需要使用oAuth來保護REST請求的正文?
在我看來,該網址是由oAuth簽名驗證的,但身體的內容可以是任何東西。但我不確定這是否是一個問題,因爲如果URL正確簽名,那麼他們提供了正確的憑據來執行插入或更新。我使用nonce來防止重放攻擊,但是我想避免由於誤解如何處理請求主體而造成安全問題。
感謝您的任何建議。
這聽起來像你真正要問的是你是否應該對請求的主體進行數字簽名,以便服務器可以驗證它是否在傳輸過程中被惡意攻擊者修改。這是對的嗎? 我還沒有與任何REST API一起工作 - 一般來說,如果連接是安全的,並且請求已經正確驗證,那麼你就很好。當然,假設你正在進行正確的數據驗證,避免基本的緩衝區溢出,注入攻擊等...... – aalpern 2012-02-09 01:03:44
謝謝,這基本上是我在想什麼,但它似乎創建了一箇中間人漏洞,至於改變有效載荷。這看起來確實不太可能,但我只是不確定是否標準簽名。聽起來像是不是..? – Jason 2012-02-09 05:20:39