[问题] API安全性 ChenCH1986 PTT批踢踢实业坊

[问题] API安全性

楼主: ChenCH1986 (Chen,C.H.) 2015-05-15 14:56:46

各位先进好，
小弟有个问题想请教一下
目前正在制作一个API，该API是用PHP所撰写的
使用者可以透过该API去捞取资料
但现在问题了，由于我是使用ajax 搭配jsonp格式来跨域传递
我担心是用GET方式传送
GET方式传送使用者只要检视原始码
就可以知道我塞的参数是什么，传送的资料是什么
会不会直接在API的网址列后面更改个参数就可以查到要查的资料?
因此想询问有没有什么做法是安全的
至少不要让使用者改个使用者ID就可以捞出其他人资料
谢谢大家

作者: mmis1000 (秋月恋枫) 2015-05-15 16:04:00

设定一个针对某使用者的暂时性token验证阿，登入时给他这样别人没token也不能拿到资料，或是网址本身就是token只要长度稍微长一点，每次登入都换，根本不可能猜到

作者: Ayukawayen (亚布里艾尔发芽>//<) 2015-05-15 16:34:00

简单一点就POST传参数走HTTPS

作者: mmis1000 (秋月恋枫) 2015-05-15 16:39:00

jsonp哪来POST阿...顺带一提，plurk的realtime api

作者: Ayukawayen (亚布里艾尔发芽>//<) 2015-05-15 16:39:00

啊你是担心使用者改参数那就放token在参数里

作者: mmis1000 (秋月恋枫) 2015-05-15 16:40:00

就是生成很长一次性网址的token这种东西可不能在client产生阿...

楼主: ChenCH1986 (Chen,C.H.) 2015-05-16 09:53:00

client 呼叫server api产生

继续阅读

[问题] 有关建立网店, 求建议HenryKwok Fw: [问题] 请问如何将contenteditable div的光标停在指定的位置banana2014 [问题] 使用masterpage的表单传送方式lovemai073 [请益] Singlepage JQ scroll 卷轴计算cumkui [请益]求CSS书单 dlikeayu [问题] apache的外部连线vmejiu Fw: [心得] Google maps 大富翁Linux [问题] 关于socketsjb [问题] 如何让人不要直接展开路径浏览?htk [问题] 两个不同的ASP.NET方案如何合并?BIAO