1
ループバックAPIを使用するとセキュリティ上問題が発生します。問題は、アクセストークンがクエリURL /ヘッダーを介してアクセス可能であることです。 Loopback APIを呼び出すときにアクセストークンを隠すことができますか、またはPOST機能付き本体にアクセストークンを置くことができる設定がありますか?ループバック - 要求アクセストークンを隠す
ありがとうございます。
A
答えて
1
あなたは常にHTTPSを使用する必要があります。
URLからデータを非表示にしても、情報がヘッダー/クッキー内の平文で送信されるため、攻撃を防ぐことはできません。
HTTPSを有効にしてHTTPクエリをHTTPSにリダイレクトすると、サーバーとクライアントだけが値を見ることができます。これは予想される動作です。
これにより、ログインデータが平文で送信されることも防止されますが、これは常に悪い考えです。
You can check this document on deploymentまたはtry this example project for enabling SSL。
3
アクセストークンをGETパラメータとして送信する代わりに、Authorizationというヘッダーとして送信してください。
ヘッダー:あなたのAPIで認証を行っている場合Authorization: $ACCESS_TOKEN
もっとに関する情報here
+0
こんにちはTobias、 フィードバックをいただきありがとうございます。私は試してみますが、引き続きヘッダーにアクセストークンを公開しています。例: GET/API/AgentParties HTTP/1.1 ホスト:10.53.6.13:3000 認証:LQT09Vobp5ZYzutBdETooEU28ydOvG6QyEaycAhGGE6WZsLCQZZ8g2eCrEKw7J3t のCache-Control:キャッシュなし ポストマン・トークン:3ec25658-7e8c-fcf5-26ef-1f69a2e3473c はありがとうございました。 – Xnuxer
+0
@Xnuxerなぜ/どのロギングツールを使用しますか? –
+0
バンプスイートですが、httpを使用してhttps(SSL)に変換すると解決しました。ありがとう、トバイアス。 – Xnuxer
関連する問題
- 1. ポケットAPIアクセストークン要求
- 2. OAuthアクセストークン要求失敗(NSErrorFailingURLStringKey)
- 3. ループバックでアクセストークンを処理する方法
- 4. アクセストークンにID要求を含める
- 5. ループバック付きアクセストークンのスライディング有効期限
- 6. Azure AD OAuth2アクセストークン要求エラー - 400 Bad Request
- 7. ループバックで永続的なアクセストークンを作成する
- 8. アクセストークンを使用してPOST要求に署名する方法
- 9. oauth2アクセストークンの要求時に無効なスコープを取得する
- 10. このリソースを要求するにはアクセストークンが必要ですFQL issue
- 11. ループバック内のアクセストークンの検証を確認してください
- 12. Instagram APIアクセストークンの要求が失敗しました
- 13. 要求に応じてFacebookのアクセストークンをキャッチしますが、どうですか?
- 14. ループバック:ループバック
- 15. 更新トークンの有効期限が切れているアクセストークンを要求する
- 16. ループバック更新ユーザーフィールド
- 17. jmeterのサンプラーの要求でクッキーデータが隠されています
- 18. ループバック:ユーザーがファイルをアップロードしたときにコンテナのアクセストークンを取得
- 19. アクセストークンを要求しないでFacebookページから公開写真を取得
- 20. アクセストークン要求を取得できませんでした。OAuth :: Unauthorized 401 problem in Rails
- 21. コンテンツスペースIDとアクセストークンを隠す、クライアントサイドのjavascriptファイル
- 22. 隠された要素を隠す:htmlの値を隠す
- 23. ループバック角誤差
- 24. リモートフックはループバックで
- 25. Facebook Server-Side Auth:アクセストークン要求にリダイレクトURIが必要なのはなぜですか?
- 26. Laravel:要求::()と要求::パッチ()
- 27. 隠す要素ボタン
- 28. 隠す要素アンドロイド
- 29. JSF:AJAX要求後に要求スコーププロパティをリロード
- 30. ループバック別のモデル
はい、動作します。感謝アカプルコ。 – Xnuxer
URLから* access_token *を隠すことは、実際にはHTTPsを使用しても良い考えです。間違ってURLをブックマークしたり、履歴をブラウズしたり、リンクを共有しようとしても、これを悪用する方法はたくさんあります。 – adelriosantiago