Skocz do zawartości


 

Zdjęcie

Kawałek własnego API - pytanie

Kawałek własnego API - pytanie

  • Proszę się zalogować aby odpowiedzieć
7 odpowiedzi na ten temat

Kawałek własnego API - pytanie

#1 Rysiu512

Rysiu512

    Czasami na forum

  • Użytkownicy
  • 42 postów
  • Imię:Lukasz

Napisany 25 sierpień 2017 - 10:46

Mam pytanie.

Chcę napisać kawałek własnego API.

W sumie sprawa jest banalna - chodzi o dodawanie danych do systemu po wystawionym adresie.

Wiem jak to zrobić - najprościej można łapać zmienne z _GET lub _POST i w zależności od nich działać.

Niezbędna jest autoryzacja dostępu, a więc w tym przypadku byłoby także jakieś hasło przesyłane.

 

Pytanie dwojakie:

Czy w przypadku zastosowania metody GET wszystkie przesyłane dane są także szyfrowane za pomocą SSL? Google mi podpowiadało, że tak - ale postanowiłem się dopytać aby nie zrobić wtopy.

 

Z tego co widzę różne serwisy umożliwiają różne bardzo złożone systemy API (REST API itp.).

Tam z tego co zerknąłem autoryzacja może przebiegać raz na jakiś czas.

Mi chodzi głównie o prostotę rozwiązania (nie potrzebuję nie wiadomo czego) i co by tutaj nie ukrywać bezpieczeństwo.

Czy dobrze zaimplementowane kawałki kodu wykorzystujące czyste GET/POST dadzą mi bezpieczeństwo?


  • 0

#2 Gość_Kamikadze_*

Gość_Kamikadze_*
  • Goście

Napisany 25 sierpień 2017 - 10:58

Szyfrowane jest połączenie, przesyłane dane są normalnie otwartym tekstem w polu adresowym np.

 

twojastrona.pl/api.php?klucz=123456&dane=jakiesdane


  • 0

#3 Vasthi

Vasthi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 650 postów

Napisany 25 sierpień 2017 - 11:02

Albo w nagłówku zapytania wysyłaj dane autoryzacyjne.


  • 0

#4 Rysiu512

Rysiu512

    Czasami na forum

  • Użytkownicy
  • 42 postów
  • Imię:Lukasz

Napisany 25 sierpień 2017 - 11:03

Szyfrowane jest połączenie, przesyłane dane są normalnie otwartym tekstem w polu adresowym np.

 

twojastrona.pl/api.php?klucz=123456&dane=jakiesdane

 

 

Wiem, wiem - ja mam normalnie dostęp do danych (jako uprawniona strona) - to oczywiste.

Chodzi mi o to czy osoba trzecia (bez znajomości SSL) może odczytać zmienne z metody GET?


  • 0

#5 systemy.internetowe

systemy.internetowe

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 140 postów
  • Firma:HTTP 200 usługi IT - Dariusz Janicki
  • Imię:Dariusz
  • Nazwisko:Janicki

Napisany 25 sierpień 2017 - 13:51

Chodzi mi o to czy osoba trzecia (bez znajomości SSL) może odczytać zmienne z metody GET?

 

Skąd odczytać ? Ze strumienia danych między klientem > ruterami, światłowodem i serwerem docelowym ? czy wywołać w przeglądarce dany adres GET ?

 

Ze strumienia nie odczyta. Dostęp klient / serwer można ograniczyć dla danych autoryzowanych IP.

Autoryzować klienta API możesz również za pomocą  mechanizmu Authorization: Basic


Edytowany przez systemy.internetowe, 25 sierpień 2017 - 13:51.

  • 0

#6 kbck

kbck

    Nowy użytkownik

  • Użytkownicy
  • 23 postów

Napisany 25 sierpień 2017 - 21:21

Ubierając to w prostsze słowa, niezależnie jaka metoda (GET, POST, czy inne) - jeżeli masz SSLa to wszystkie przesyłane dane są szyfrowane.
 

Tam z tego co zerknąłem autoryzacja może przebiegać raz na jakiś czas.

Przesyłaj token autoryzacyjny przy każdym zapytaniu.

Edytowany przez kbck, 25 sierpień 2017 - 21:21.

  • 0

#7 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 26 sierpień 2017 - 01:25

tLkmF.jpg


Edytowany przez Pan Kot, 08 wrzesień 2017 - 12:52.

  • 0

#8 Rysiu512

Rysiu512

    Czasami na forum

  • Użytkownicy
  • 42 postów
  • Imię:Lukasz

Napisany 26 sierpień 2017 - 10:00

Wielkie dzięki za podpowiedzi.

Skorzystam z POST.

Dodam także opcję dopuszczania tylko określonych adresów IP.

Wielkie dzięki!


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników