针对前端的API安全性

Question

我正在做一个基本的RESTful API，我对安全性有怀疑。

我用RESTful安全系统在PHP中实现了一个基本的OAuth2 API，它在OAuth2上工作。

如果我有我的前端(可能是一个Angular2应用程序)，它会消耗我的API的一些方法(主要是获取方法)。这是针对OAuth2发送头部(用户、密码和API令牌)的前端，API用令牌进行响应以供其使用。这能被我的前端的简单用户捕获并使用吗？

有没有办法不使用HTTPS来保护API？

Answer 1

如果不使用HTTPs，就无法保护API (或网站)。

如果您正在运行用户需要登录的任何类型的服务，那么使用HTTPs是绝对必须的。

原因是，不管您使用的是什么安全协议(OAuth2、Basic Auth、SAML等) --与最终用户在同一个WiFi网络上的任何人，任何能够查看用户和服务器之间的网络流量的人，或者客户机计算机上任何可以查看网络流量的恶意应用程序，都可以查看纯文本凭据和令牌。

这总是会导致黑客/等等。

如果您出于某种原因试图避免HTTPs，您真的不应该这样做！您可以通过让我们加密、亚马逊和其他提供程序获得免费证书。

如果您正在寻找继续使用HTTP而不是HTTPS的原因，您可能需要阅读这个伟大的关于这个主题的文章:为什么HTTP有时比HTTPS更好。=)

Answer 2

OAuth2需要HTTPS，因为它的设计目的是将安全性委托给较低层，因此不再需要客户端手头有密码库；有关更多细节，请参见这个答案。

如果无法保证服务器上的HTTPS可用性，则OAuth1.0a在您的情况下可能更有用。