RESTful Web服務安全
正如RESTfulWeb服務以HTTP URL的路徑工作,所以這是非常重要的,在相同的方式維護一個RESTful Web服務的網站是安全的。以下是在設計一個RESTful Web服務應遵循的最佳實踐。
-
驗證 - 驗證服務器上的所有輸入。防止SQL或NoSQL注入攻擊你的服務器。
-
基於會話的認證 - 使用基於會話的認證,每當一個請求到Web服務的方法來驗證用戶的身份。
-
URL冇有敏感數據 - 千萬不要使用用戶名,密碼或會話令牌的URL,這些值應通過POST方法傳遞給Web服務。
-
方法執行限製 - 允許限製使用像GET,POST,DELETE等方法。 GET方法不應該用於刪除數據。
-
驗證格式錯誤 XML/JSON - 檢查以及表單輸入傳遞到Web服務方法。
-
拋出通用錯誤信息 - Web服務方法應使用HTTP錯誤信息像403,顯示禁止訪問等。
HTTP 代碼:
| S.N. | HTTP 代碼 & 描述 |
|---|---|
| 1 |
200 正確/正常, 顯示成功。 |
| 2 |
201 創建,當使用POST或PUT請求成功創建了資源。返回鏈接使用位置標頭新創建的資源。 |
| 3 |
204 無內容, 當響應主體是空的,例如,一個DELETE請求。 |
| 4 |
304 不修改, 用於減少以防條件GET請求的網絡帶寬的使用。響應主體應該是空的。頭應該有日期,位置等。 |
| 5 |
400 錯誤的請求, 狀態表示無效輸入,例如提供驗證錯誤,數據丟失。 |
| 6 |
401 未經授權, 指出用戶正在使用無效或錯誤的身份驗證令牌。 |
| 7 |
403 被禁止, 指出用戶冇有訪問方法的使用,例如,刪除權限冇有管理員權限。 |
| 8 |
404 未找到, 狀態表示這個方法不可用。 |
| 9 |
409 衝突, 執行方法,例如,添加重複條目狀態的衝突的情況。 |
| 10 |
500 內部服務器錯誤,狀態該服務器已經在執行方法拋出了一些異常。 |
