0
私はREST APIを構築し、認証にoAuthを使用しています。私の質問は、データを含むPUTリクエストとPOSTリクエストの場合、リクエストの本文については何もする必要がありますか?私はそれが何か違いがあれば、SSLを使っています。oAuthを使用してRESTリクエストの本体を保護する必要はありますか?
URLはoAuth署名で確認されているようですが、本文の内容は何でもかまいません。 URLが正しく署名されていれば、挿入や更新を行うための正しい資格情報が提供されているため、問題があるかどうかはわかりません。リプレイ攻撃を防ぐためにナンスを使用していますが、リクエストボディの扱いを誤解してセキュリティ上の問題が発生するのを避けたいと考えています。
ありがとうございます。
あなたが本当に尋ねるのは、リクエスト中に悪意のある攻撃者がサーバーを改ざんしているかどうかをサーバーが検証できるように、リクエストの本文にデジタル署名する必要があるかどうかということです。それは正しいのでしょうか? これを行うREST APIは使用していません。一般に、接続が保護されており、リクエストが適切に認証されていれば、あなたはうまくいきます。基本的なバッファオーバーフロー、注入攻撃などを避けて、適切なデータ検証を行っていると仮定します。 – aalpern
基本的には私が考えていたことですが、中間者の脆弱性を引き起こすようですが、ペイロードを変更する限り。本当に起こりそうもないようですが、署名するのが標準かどうかは分かりませんでした。それはそうではないような音..? – Jason