securing practices for best security api web

security - practices - ¿Hacer mi api web segura?



securing api rest (1)

Estoy creando una aplicación web simple que devuelve json.

Realizará simples operaciones crud.

¿Cuál es la mejor manera de autenticar usuarios, OAuth parece ser la principal recomendación aquí, pero estoy buscando algo que pueda implementar solo, basado en token o clave API?

Cualquier consejo sobre sugerencias de ideas sería genial, gracias

ACTUALIZACIÓN: Olvidé mencionar, esta API no será para consumo general, es solo para mi propio uso, pero quiero asegurarme de que alguien no pueda ingresar con demasiada facilidad si se tropieza con ella.


Antes que nada para construir una buena API, debes usar la API de otras personas para ver cómo funcionan. Para que sea RESTful se usa una clave API, que es solo un número aleatorio realmente grande o "nicho criptográfico". Pero realmente esto es como el ID de sesión inmortal para buscar la información de autenticación de un usuario, que no es tan buena. OAuth es genial, si quieres tu propio sistema, kerberos es muy seguro.

Es posible secuestrar las respuestas json , que es una trampa contra json. Si se requiere la clave API para cada solicitud, el atacante no puede usar este método.