RESTfulサービスを保護する方法は？

Question

私のウェブサイトにAngular 2フロントエンドを構築しようとしています。私の質問はAngularとは必ずしも関連していませんが、私は完全な文脈を提供したいと思います。

コンテンツをユーザーに表示するアプリケーションロジックは、クライアントに移行します。したがって、サーバー側では、RESTfulなJSONフィードを介してデータを公開する必要があります。私が心配しているのは、誰かが私のフロントエンドを完全に迂回し、さまざまなパラメータでサービスにリクエストを実行し、データベースを効果的に削ることができるということです。 HTMLを掻き集めることで可能なことが分かりましたが、整形されたデータを使ってサービスを公開するのは簡単です。

これからRESTfulサービスを保護する方法はありますか？言い換えれば、そのようなサービスが私のAngular 2アプリケーションコールにのみ応答するようにする方法はありますか？認証は確かにここでの解決策ではありません。私は訪問者に認証を強制したくないので、スクレーパーは認証しアクセス権を得ることができます。

Answer 1

答えは「いいえ」と思います。

あなたはあいまいなタイプのものでセキュリティを行うことができます。あなたの残りのAPIは、文字化けしたデータを公開する可能性があり、あなたのコードに隠されていた機能をいくつか持つことができます。明らかにこれは馬鹿な証拠ではありませんが、パブリックサイトにデータを公開すると、サーバーやクライアントのレンダリングに関係なく公開されます。

Answer 2

わかりやすい方法はありませんが、多くの人がAmazon S3をモデルとして検討しているようです。クライアントコードに資格情報を入れると、クライアントコードを取得した誰もがそれらを見ることができます。私はあなたが時間制限されたトークンをブラウザにクライアントコードで戻すためにサーバーを書くことを提案するかもしれません。クライアントコードは、アクセスのためにサーバーに戻す必要があります。これにより、誰かが自分のクライアントコードを書くことができなくなります。サーバーによって送信されたクライアントコードだけが一定の期間だけ動作するためです。ユーザーはタイムアウトを取得することがありますが、それはトークンのタイムアウトをどれだけ厳密にしたいかによって異なります。もちろん、この種のものであっても、自分のクライアントAPIで使用するトークンのコピーを取得するように依頼するクライアントがハッキングする可能性はありますが、その時点で誰かがあなたのAPIを使いこなすのを誇りに思うべきです！私はそのようなことを書こうとしていないので、私はこの問題に関して実践的な経験はありません。私自身はそれについて疑問を抱いていましたが、他の人が何をしていたのかを知るために、このアーキテクチャについて十分な経験を持っていません。 angularJSフォーラムは何を提案していますか？

その他の参考資料：Best Practices for securing a REST API/web service

Answer 3

私はJWTの許可をお勧めします。そのような実装の1つはOAuthです。基本的には、ユーザーと、APIにアクセスできるリソースについてあなたが信頼する信頼できる機関によって署名されたjson Webトークン（JWT）を取得します。

リクエストに承認トークンが含まれていない場合、APIはそれを拒否します。

トークンが認可機関によって署名された後で自分自身を許可しようとしている人によって改ざんされた場合、あなたのAPIはそのトークンを拒否します。

かなりクールなキットです。

このsiteには、さまざまな言語のOAuth実装についての情報があります。あなたのお気に入りがリストされていることを願います。

軽いベッド時間reading。