web service

安全牛web安全笔记

webservice 安全考虑

----使用api key 或者session token 实现和跟踪身份认证

----身份认证由服务器完成，而非客户端

----API key 用户名， session token 永远不要用url发送

----RESTful默认不提供任何安全机制，需要使用ssl/tls保护传输数据安全

----SOAP提供千余HTTPS的WS-security 机制

----使用Oauth或者HMAC进行身份验证，HMAC身份认证使用c/s共享的密钥加密API key

----RESTful应只允许身份认证用户使用put delete方法

----使用随机token方式csrf

----对用户提交参数过滤，建议部署基于严格白名单的方法

----错误消息消毒，不要把原始的报错信息发送出去

----直接对象引用应严格身份验证

Oauth 和 HMAC