Construí una micro API usando Lumen que solo tiene un método GET singular, que devuelve datos JSON de una base de datos.

Agregué un middleware simple que obliga a la solicitud GET a tener "? Key = [secretPassword]" en la URL para que solo las personas que le dé la clave puedan realizar el GET.

Esta es mi primera API, ¿son suficientes medidas de seguridad?

Edite con más información: los datos no son confidenciales y no me importaría si la gente los encontrara, pero voy a mover la clave a los encabezados para una protección adicional, y estoy usando HTTPS.

rest security lumen
0
user3869231 24 ene. 2018 a las 01:55

3 respuestas

La mejor respuesta

Agregué un middleware simple que obliga a la solicitud GET a tener "? Key = [secretPassword]" en la URL para que solo las personas que le dé la clave puedan realizar el GET.

Es difícil dar una respuesta completa, porque hay algunas incógnitas, pero lo estoy probando.

Algunas notas sobre este enfoque:

  • En general, no se recomienda poner secretos en una URL, porque las URL terminan en cachés y registros.
  • Definitivamente necesitas HTTPS. Sin HTTPS, otros pueden escuchar las solicitudes y respuestas HTTP.
  • ¿Cómo vas a llevar esta clave a tus usuarios finales? ¿Tiene alguna forma segura de enviárselos?
  • ¿Cómo estás creando claves al azar? Hay muchas formas malas de hacer esto.

En el título también preguntas esto:

¿Hay alguna necesidad de autenticación para una API REST de acceso público?

Bueno ... ¿depende de lo que intentas protegerte? ¿Importa si alguien puede llamar a la API? Entonces probablemente no necesites autenticación.

3
Evert 23 ene. 2018 a las 23:20

Si no es demasiado elevado, puede colocar una puerta de enlace API (Kong, Tyk, ApiGee, etc., etc.) frente a su API, esto le dará la flexibilidad para manejar cualquier tipo de autenticación o, para el caso, aún más a tiempo .

Generalmente, dependiendo de la sensibilidad de la información o del caso de negocios, la API GET también se deja abierta a veces.

1
goodbye_for_now 24 ene. 2018 a las 00:42

Tener la contraseña en la URL filtra la contraseña, incluso en el tráfico HTTPS. Utilice el encabezado de autorización en su lugar.

2
Will Hartung 23 ene. 2018 a las 23:01

Nuevas preguntas

1 Api de Microsoft Graph - Outlook - Devuelve solo los últimos correos
2 enviar datos a firebase usando REST API o solicitud HTTPS
1 ¿Puede una api restful eliminar dos recursos relacionados de un solo punto final?
1 Obtenga datos de la API en el lado del cliente en lugar de en la compilación
2 Spring REST: muestra ciertos datos de un usuario solo si el solicitante es un amigo
1 Los productos de "propiedad o método" no están definidos en la instancia, pero se hace referencia a ellos durante el procesamiento "Error en la aplicación Vue
1 Autenticar condicionalmente a los usuarios en la vista DRF
1 Tengo un código en el repositorio de Github y quiero clonarlo / copiarlo en el repositorio de Azure, ¿hay alguna forma de hacerlo a través de Rest?
2 Datepicker que devuelve la hora que no quiero guardar
2 Recorra una lista de matrices para realizar una solicitud de publicación de una API de descanso dinámica
Nuevas preguntas con la etiqueta rest >

rest

REST (Representational State Transfer) es un estilo de arquitectura de software para sistemas hipermedia distribuidos como la World Wide Web. Ha aumentado su popularidad en relación con las arquitecturas RPC como SOAP debido al desacoplamiento intrínseco del cliente del servidor que proviene de tener una interfaz uniforme entre sistemas heterogéneos.

Más sobre rest...