安全 API 个端点
Secured API endpoints
我正在构建一个 API returns 二维码。
API端点应该得到以下信息:
电子邮件,client_id & client_secret.
我的 API 应该检查客户端 ID 和密码,然后加密电子邮件(和更多数据),然后从加密的令牌制作 QR 码。
我如何确保此 API 的安全,这样攻击者就无法向我发送虚假电子邮件?
我正在尝试了解如何保护 OAuth 请求免受 mitm 攻击。当我读到它时,我的服务器似乎需要向 OAuth 提供者发出一个 https 请求,包括这些数据。
我很难理解攻击者如何看不到客户端 ID 和密码(即使请求是通过消费者服务器发出的)。
希望得到帮助,
谢谢!
how OAuth requests are secured against mitm attacks.
要在使用 OAuth2 时防止 MITM 攻击,您必须使用 TLS (https) 连接。
How can I secure this API so an attacker won’t be able to send me a fake email?
为避免虚假电子邮件,您需要验证地址,例如发送带有用户需要与之交互的 一次性代码 的邮件。例如。 OpenID Connect,基于 OAuth2 的身份验证标准具有特殊的 声明 以告知电子邮件是否已验证。
OpenID Connect already defines additional claims to inform the RP of the verification status of the phone_number and email claims.
我正在构建一个 API returns 二维码。
API端点应该得到以下信息: 电子邮件,client_id & client_secret.
我的 API 应该检查客户端 ID 和密码,然后加密电子邮件(和更多数据),然后从加密的令牌制作 QR 码。
我如何确保此 API 的安全,这样攻击者就无法向我发送虚假电子邮件?
我正在尝试了解如何保护 OAuth 请求免受 mitm 攻击。当我读到它时,我的服务器似乎需要向 OAuth 提供者发出一个 https 请求,包括这些数据。
我很难理解攻击者如何看不到客户端 ID 和密码(即使请求是通过消费者服务器发出的)。
希望得到帮助, 谢谢!
how OAuth requests are secured against mitm attacks.
要在使用 OAuth2 时防止 MITM 攻击,您必须使用 TLS (https) 连接。
How can I secure this API so an attacker won’t be able to send me a fake email?
为避免虚假电子邮件,您需要验证地址,例如发送带有用户需要与之交互的 一次性代码 的邮件。例如。 OpenID Connect,基于 OAuth2 的身份验证标准具有特殊的 声明 以告知电子邮件是否已验证。
OpenID Connect already defines additional claims to inform the RP of the verification status of the phone_number and email claims.