Skocz do zawartości
Rysiu512

Kawałek własnego API - pytanie

Polecane posty

Mam pytanie.

Chcę napisać kawałek własnego API.

W sumie sprawa jest banalna - chodzi o dodawanie danych do systemu po wystawionym adresie.

Wiem jak to zrobić - najprościej można łapać zmienne z _GET lub _POST i w zależności od nich działać.

Niezbędna jest autoryzacja dostępu, a więc w tym przypadku byłoby także jakieś hasło przesyłane.

 

Pytanie dwojakie:

Czy w przypadku zastosowania metody GET wszystkie przesyłane dane są także szyfrowane za pomocą SSL? Google mi podpowiadało, że tak - ale postanowiłem się dopytać aby nie zrobić wtopy.

 

Z tego co widzę różne serwisy umożliwiają różne bardzo złożone systemy API (REST API itp.).

Tam z tego co zerknąłem autoryzacja może przebiegać raz na jakiś czas.

Mi chodzi głównie o prostotę rozwiązania (nie potrzebuję nie wiadomo czego) i co by tutaj nie ukrywać bezpieczeństwo.

Czy dobrze zaimplementowane kawałki kodu wykorzystujące czyste GET/POST dadzą mi bezpieczeństwo?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Szyfrowane jest połączenie, przesyłane dane są normalnie otwartym tekstem w polu adresowym np.

 

twojastrona.pl/api.php?klucz=123456&dane=jakiesdane

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Szyfrowane jest połączenie, przesyłane dane są normalnie otwartym tekstem w polu adresowym np.

 

twojastrona.pl/api.php?klucz=123456&dane=jakiesdane

 

 

Wiem, wiem - ja mam normalnie dostęp do danych (jako uprawniona strona) - to oczywiste.

Chodzi mi o to czy osoba trzecia (bez znajomości SSL) może odczytać zmienne z metody GET?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chodzi mi o to czy osoba trzecia (bez znajomości SSL) może odczytać zmienne z metody GET?

 

Skąd odczytać ? Ze strumienia danych między klientem > ruterami, światłowodem i serwerem docelowym ? czy wywołać w przeglądarce dany adres GET ?

 

Ze strumienia nie odczyta. Dostęp klient / serwer można ograniczyć dla danych autoryzowanych IP.

Autoryzować klienta API możesz również za pomocą mechanizmu Authorization: Basic

Edytowano przez systemy.internetowe (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ubierając to w prostsze słowa, niezależnie jaka metoda (GET, POST, czy inne) - jeżeli masz SSLa to wszystkie przesyłane dane są szyfrowane.

 

Tam z tego co zerknąłem autoryzacja może przebiegać raz na jakiś czas.

Przesyłaj token autoryzacyjny przy każdym zapytaniu. Edytowano przez kbck (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wielkie dzięki za podpowiedzi.

Skorzystam z POST.

Dodam także opcję dopuszczania tylko określonych adresów IP.

Wielkie dzięki!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×