我正在尝试找出确保REST API通信安全的方法。以下是考虑的项目。
我们的GUI与如上所述保护的服务层API进行交互。 GUI发出的所有请求都包含敏感信息,因此必须在每个地方保护数据。
简而言之,我们的GUI通过基于角色的身份验证得到保护,并且API如上所述得到保护。我仍然觉得GUI和服务之间的通信不够安全。
如果这不是问这个问题的正确地方,我很乐意将其移到正确的地方。
请指教! 预先谢谢你
答案 0 :(得分:1)
我从帖子中了解到,您的GUI是基于安全角色的,而api是使用令牌和https保护的。
除了这些,据我了解,您的应用程序过于敏感,在这种情况下,我将执行以下操作以增加一些额外的安全性。
为GUI添加两步验证,以确保正确的人始终登录。
可能使用公钥/私钥对数据(即有效载荷)进行加密。在这种情况下,服务器端需要进行一些更改,因为它需要解密请求。
确保您的令牌具有生命周期,并且在一定时间后过期。
让我知道您是否正在寻找其他东西。