私はこれについてたくさんのスレッドがあることを知っています。しかし、私はまだ混乱しています。
JSONデータを取得するためにサーバー(nodeJS)にリクエストを行うアプリがあります。現時点では、誰でもhttp://myserver/allUpdates/パスワードなしですべてを取得できます。URL を知っていればよいだけです。
だから、もう少し安全にやろうと思った。私はBasic Authを見てきました。これは、すべてのリクエストのヘッダーにユーザー名とパスワードを送信することで機能するようです。
それで十分?
SSL を使用していない場合は、あまり効果がないと言う人もいます。しかし、何もないよりはましですよね?
私は SSL を使用したことがなく、学ぶべきことがたくさんあるようです。
私の質問は、SSL を使用していないときに認証を気にする必要があるかどうかです。または、他の代替手段はありますか?
SSL はリクエストを暗号化します。つまり、ネットワーク トラフィックを傍受しても、リクエストのペイロードを読み取ることはできません。
サーバーに対してクライアントを認証するには、次の 2 つの方法があります。
どちらの方法でも、SSL を使用し、資格情報を POST データと共に送信する必要があります。
SSL を使用していない場合は、あまり効果がないと言う人もいます。しかし、何もないよりはましですよね?
残念ながら、それらの人は正しいです。基本認証は、プレーンテキストで送信されると、実際のセキュリティがなくても漠然としたセキュリティの感覚を与えるため、おそらく何もないよりも悪い.
これは、プロキシなどを介してネットワーク要求を傍受するのは簡単だからです。SSL を使用していない場合は、基本認証資格情報を含め、送信しているすべてのパラメーターを簡単に確認できます。
「SSL を使用していない場合、認証を気にする必要がありますか?」という質問への回答として。- 場合によります。認証されたユーザーのみがデータにアクセスできるようにしたい場合は、実際には SSL または何もありません。しかし、サーバーの負担を軽減することだけを目的としている場合 (レート制限など) は、おそらくそうではありません。前者を検討していると仮定します。その場合は、時間をかけて SSL を理解することをお勧めします。使用している可能性のある追加のフレームワーク (Express など) に応じて、Node と SSL の使用に関するリソースが多数あります。