問題タブ [rest-security]

Web アプリケーションのクライアントを作成していて、開発者証明書でリリース jar に署名しました。サービスを停止する要求が署名済みの jar からのものであることを確認するにはどうすればよいですか?

私は C# でデスクトップ ソフトウェアを作成しました。ソフトウェアの 30 日間の無料試用版を作成する予定です。日付を確認するためにサーバーから日付と時刻を確認します...私の質問は、ハッカーがこれをハッキングできるかどうかです。そして、それをフルバージョンにするための何らかのキーまたはステップを作成するか、市場で誰にとってもクラックを作成します（ハッカーはあらゆる製品をハッキングできることを私は知っています）???

asp.net Webサービスによって作成される残りのAPIがあり、APIを呼び出してユーザーにデータを表示するAndroidおよびIOSアプリケーションがあります。

私が必要としているのは、私のアプリケーションだけが API を介してデータにアクセスでき、他の要求が拒否されるように、API を保護することです。

私のアプリケーションはユーザーベースではないため、ログインと認証がなく、ユーザーログインを強制したくないことに注意してください!!!

私の検索によると、これを実現するにはクエリ認証（クエリパラメーター）が必要です。

私が必要としているのは、この種のクエリ パラメータを作成する方法と、それらを検証する方法です。(パフォーマンスは私にとって重要すぎる)

前もって感謝します

ファイアウォールの背後に配置された非常に重要な内部安静サービスがいくつかあります。ファイアウォールだけでサービスを保護できるかどうか知りたいですか?

データを保護するための正しい決定を下せるように、できるだけ多くのことを学びたいと思います。

SSL と HMAC または OAuth を追加する可能性がありますが、考慮すべきオプションはほとんどありませんが、私はこの分野の専門家ではありません。

REST エンドポイントにセキュリティを提供しようとしています。このページの指示に従っています。私の場合、ビューがないため、ビューを指定するコントローラーを作成しておらず、AppConfig.java に viewResolver を追加していません。

実装後、保護された REST エンドポイントを呼び出すと、アクセス拒否エラーが正しく表示されます。しかし、リクエストヘッダーでユーザー名/パスワードを指定しても、アクセス拒否エラーが発生します。基本認証でユーザー名/パスワードを設定する郵便配達員でテストしています。何が足りないのですか？

認証されたユーザーに安らかなクライアントを使用してセキュリティを実装する方法を理解しようとしています。私が問題を抱えているシナリオは、安らかなクライアントが購入 ID を返すため、ユーザーが自分のものではない購入を更新するのを止める方法です。製品 ID は、熟練したユーザーであれば簡単に改ざんできます。httpsを使用することでそれを防止または軽減できるため、私は途中で巻き込まれることにあまり興味がありません. 自分のものではないものを更新しようとしているユーザーに本当に興味があります。

残りの世界でそのような攻撃をどのように防ぎますか? Web パラメータの改ざん

JSON 応答を送信する REST API に接続しようとしています。ブラウザに URL をコピーして貼り付けると、ブラウザにユーザー名とパスワードを入力するためのポップアップが表示されます。

ユーザー名とパスワード (Active Directory ID とパスワード) を入力すると、サービスは JSON 応答を送信します。 HTTP リクエストとレスポンス

しかし、コードから接続しようとすると、次のエラーが返されます

{StatusCode: 401、ReasonPhrase: 'Unauthorized'、バージョン: 1.1、コンテンツ: System.Net.Http.StreamContent、Headers: { Keep-Alive: timeout=15、max=100 Connection: Keep-Alive Date: Wed, 20 Apr 2016 11:38:45 GMT サーバー: Apache WWW-Authenticate: Basic realm="Login using your AD-ENT credentials, but do not do your ID with the domain"
Content-Length: 455 Content-Type: text/html; charset=iso-8859-1 }}

Web サイトで作業していますが、認証についてよくわかりません。

私は外部 API を備えた Web サイトを持っています。私の Web サイトは API に情報を要求して、ユーザー、記事などのデータを取得できます。

さらに、ユーザーは私のウェブサイトでアカウントを作成し、API アクセスも要求できます (もちろん、プロファイルにはいくつかの制限があります)。したがって、私の考えは、ユーザーアカウントにキー/トークンを提供して、API からデータを送信/取得できるようにすることです。(例: Bugsnag、Google アナリティクスなどのサービス)

• 「O-Auth 2」の仕事ですか？私のウェブサイトは、彼がより多くのデータを取得できるようにするキーを持つクライアントのようなものです（基本的にはより良いスコープ）
• ユーザーが自分の API トークンを使用して Javascript スクリプトを追加した場合、別のユーザーが自分のキー/トークンを DOM から盗むのを防いでいるのは何ですか?

ありがとう！

私は OpenAM を初めて使用し、OpenAM を使用して Web サービスを保護しようとしています。以下のリンクの情報を使用して、J2EE ポリシー エージェントをインストールしました。

https://wikis.forgerock.org/confluence/display/openam/Installing+Tomcat+6.0+Policy+Agent

REST API にセキュリティを提供する必要があります。では、OpenAM コンソールのどこで REST API を設定する必要があるのでしょうか。

情報を入手できるリンクをいくつか教えてください。

REST API を提供する Spring Boot Web アプリケーションを開発しています。ほとんどのページ (thymeleaf テンプレート) は、この API を使用してバックエンドと通信します (AJAX 要求を使用)。基本認証、OAuth2 などのさまざまなアプローチについて読みました。これらのアプローチは、ユーザー認証を説明した後、ユーザーが API にアクセスできるようになります。しかし、ユーザーがブラウザーまたは REST クライアントを使用して API と直接通信することは望ましくありません(つまり、アクセス トークンが通常保存されるブラウザーの Cookie にアクセスできる postman chrome 拡張機能)。

私はこのようなものを持っています:
(1) ユーザー --> (2) MyOwnPages --> (3) RestAPI。

直接通信を防ぐ方法はありますか 1-3 ?
リクエストが自分のページから行われたことをどうにかして判断できますか (つまり、各リクエストに何らかのアクセス トークンを追加します)? ベストプラクティスはありますか?

ありがとう！