我正在攻读Spring核心认证,我对REST Web服务和我正在研究如何应用于Spring框架有一些疑问.
所以我对基于我的学习材料的这个问题有一些疑问,但我找不到答案.
所以问题是(我不知道这些问题是彼此相关的):
> REST安全吗?你能做些什么来保护它?
> REST是否与传输层安全性(TLS)一起使用?
我已经了解了REST Web服务是如何工作的,我知道它使用Http方法来访问资源并实现CRUD操作,但是什么意味着要求REST是否安全?在这种特定情况下,安全是什么意思?
什么是REST中的TSL究竟是什么?
最佳答案
1. REST安全吗?你能做些什么来保护它?
REST是一种范例.它不是完成的协议或实现.
有一些机制可以保护RESTful Web服务(一种是TLS),但默认情况下REST并没有说明任何内容.
OWASP可以很好地概述REST安全主题以及如何保护RESTful Web服务:
> https://www.owasp.org/index.php/REST_Security_Cheat_Sheet
什么是安全性?:
请注意,信息安全有不同的安全目标:
>机密性
>诚信
>可用性
所有人都需要不同的安全措施.有些无法单独通过Web服务(REST)处理. (例如,可用性意味着服务器本身是安全的,并且您的安全措施会再次受到dDoS攻击.)
它并没有很好地定义REST的详细内容,它不是官方标准或规范.我会说REST本身并不安全.您可以围绕它构建机制来保护它(如TLS,令牌身份验证).其中许多措施与REST直接无关.
2. REST是否与传输层安全性(TLS)一起使用?
是. Transport Layer Security可以加密与RESTful Web服务的通信,并向客户端验证服务器. (机密性和一些延伸完整性)