1. ホーム
  2. 質問と答え
  3. URIのリソースIDを渡すための最高のセキュリティ実践

URIのリソースIDを渡すための最高のセキュリティ実践

2016-09-23 13 views
0

私は現在、銀行用の残りのAPIの開発に取り組んでいます。 Rest APIの原則では、URIは一意に識別されます。それが意味する、私たちは、リクエストURLに 例えば、リソースIDを渡す必要があります:URIのリソースIDを渡すための最高のセキュリティ実践

  • GET /顧客/
  • PUT /顧客/
  • DELETE /顧客/

をしかし、問題は、私の中にありますセキュリティ上の理由により、銀行口座IDがURIで禁止されています。 (URIは任意のものを読み取ることができます)

レストリソース命名の原則に違反することなく、このセキュリティ問題を克服する業界レベルのベストプラクティスがありますか?

出典

2016-09-23 Dinusha

+0

URIにIDを挿入することは禁止されていますか?私はセッションIDやクレジットカード番号のような機密データを渡すことを望まないと思っています。それは、クライアントにログオンしているリクエストURL、プロキシーなどもいくつかの理由でベストプラクティスですいつか、など)しかし、一般的にどのリソースIDですか?それは大した意味を持たないでしょう。 –

+0

うわー、どの銀行? –

答えて

1

しかし、セキュリティ上の理由から私の銀行がURIのIDを渡すことに問題があります。

を(URIは、いずれかを読み取ることができます)あなたは、銀行などのセキュリティ・クリティカルな環境でノー行くとにかくされていないTLS/SSLを使用していない場合、すなわち!!誰かがあなたのリクエストを読むことができれば、彼はあなたのHTTPトラフィックを読むことができます。したがって、この電線を通じて送信されたものをURL、ヘッダー、またはコンテンツの中に確実に保護する本当の方法はありません!

あなたのURIに何かを入れることができない場合は、清潔で簡潔なrestfull HTTP APIを開発するのに苦労するでしょう!

出典

2016-09-23 11:47:29 enzian

+0

TLS/SSLを使用しています。もしそうなら、あなたはIDのURLを渡す際にセキュリティ上の問題を保証できませんか? – Dinusha

+1

これが正しく行われた場合。確かに! TLSは、HTTPエンドポイント間のすべての通信を暗号化します。ここでTLSで読んでください:https://de.wikipedia.org/wiki/Transport_Layer_Security – enzian

+0

URLは現金でも、ブラウザの履歴に保存することもできます。 – Dinusha

関連する問題

 関連する問題