[問題] API安全性 ChenCH1986 PTT批踢踢實業坊

[問題] API安全性

作者: ChenCH1986 (Chen,C.H.) 2015-05-15 14:56:46

各位先進好，
小弟有個問題想請教一下
目前正在製作一個API，該API是用PHP所撰寫的
使用者可以透過該API去撈取資料
但現在問題了，由於我是使用ajax 搭配jsonp格式來跨域傳遞
我擔心是用GET方式傳送
GET方式傳送使用者只要檢視原始碼
就可以知道我塞的參數是甚麼，傳送的資料是甚麼
會不會直接在API的網址列後面更改個參數就可以查到要查的資料?
因此想詢問有沒有甚麼做法是安全的
至少不要讓使用者改個使用者ID就可以撈出其他人資料
謝謝大家

作者: mmis1000 (秋月戀楓) 2015-05-15 16:04:00

設定一個針對某使用者的暫時性token驗證阿，登入時給他這樣別人沒token也不能拿到資料，或是網址本身就是token只要長度稍微長一點，每次登入都換，根本不可能猜到

作者: Ayukawayen (亞布里艾爾發芽>//<) 2015-05-15 16:34:00

簡單一點就POST傳參數走HTTPS

作者: mmis1000 (秋月戀楓) 2015-05-15 16:39:00

jsonp哪來POST阿...順帶一提，plurk的realtime api

作者: Ayukawayen (亞布里艾爾發芽>//<) 2015-05-15 16:39:00

啊你是擔心使用者改參數那就放token在參數裡

作者: mmis1000 (秋月戀楓) 2015-05-15 16:40:00

就是生成很長一次性網址的token這種東西可不能在client產生阿...

作者: ChenCH1986 (Chen,C.H.) 2015-05-16 09:53:00

client 呼叫server api產生

繼續閱讀

[問題] 有關建立網店, 求建議HenryKwok Fw: [問題] 請問如何將contenteditable div的游標停在指定的位置banana2014 [問題] 使用masterpage的表單傳送方式lovemai073 [請益] Singlepage JQ scroll 卷軸計算cumkui [請益]求CSS書單 dlikeayu [問題] apache的外部連線vmejiu Fw: [心得] Google maps 大富翁Linux [問題] 關於socketsjb [問題] 如何讓人不要直接展開路徑瀏覽?htk [問題] 兩個不同的ASP.NET方案如何合併?BIAO