PHP中的文件管理器API

Question

我计划开发一个在线文件管理应用程序来管理(添加/编辑/更新/复制/删除)我的客户端(我的业务客户端)服务器文件。而不是使用Filezila或任何类似的FTP应用程序。因为没有这样的选项来跟踪这些应用程序中的文件更改历史记录。

我的想法是

1. 将代理文件放置在生产服务器(http://example-client-site.com/file-manager-api.php)中
2. 从在线托管的项目管理系统调用代理文件(文件管理器-api.php)。(http://example-proj-mgmt.com)
3. 这样我就可以像REST一样从我的项目管理系统中访问生产服务器文件，而无需通过FTP连接。

我的问题是，通过URL REST方法访问服务器的方式存在哪些安全问题？

请给我一些解决安全问题的办法。

(预先谢谢:)

Answer 1

这个概念很好，我只关心安全。您可以做的是保留类似令牌或授权密钥之类的东西，其中只有授权用户才能访问它，因为相关的是REST。

1. 授权(Tokn密钥)
2. 防止跨站点请求伪造
3. 不安全的直接对象引用
4. URL验证
5. 安全解析和强类型
6. 验证传入的内容类型
7. JSON编码
8. 消息完整性