Bezpieczeństwo API - devszczepaniak.pl

2024-01-16T20:25:34+01:00 elszczepano 5 devszczepaniak.pl

Temat bezpieczeństwa API to temat rzeka, o którym można by napisać książkę. Na sam początek myślę, że wystarczy artykuł. W podlinkowanym artykule przedstawiłem wybrane aspekty bezpieczeństwa API, z naciskiem na REST API oparte na protokole HTTP.

W artykule zawarłem opis popularnych błędów, występujących podatności i dobrych praktyk, które poznałem w trakcie swojej programistycznej kariery.

#programowanie #informatyka #cybersecurity #cybersecurity #itsecurity #bezpieczenstwo #cyberbezpieczenstwo #programista15k

Komentarze (5)

szczekoscisk 2024-01-17T10:38:36+01:00

We wprowadzeniu do tematu REST API wspomniałem, że REST jest stylem architektury oprogramowania, a nie standardem.

Ależ mnie autor striggerował, jest dokładnie na odwrót😁

szczekoscisk 2024-01-17T10:44:05+01:00

Ogolnie dział "Metody i nagłówki HTTP" powinien pójść do kosza. REST konkretnie określa pewne zasady. To że mamy API które używa json'ow nie czyni go REST API.

elszczepano 2024-01-17T14:17:31+01:00

@szczekoscisk polemizowałbym. Idąc za https://ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm:

The design rationale behind the Web architecture can be described by an architectural style consisting of the set of constraints applied to elements within the architecture. By examining the impact of each constraint as it is added to the evolving style, we can identify the properties induced by the Web's constraints. Additional constraints can then be applied to form a new architectural style that better reflects the desired properties of a modern Web architecture. This section provides a general overview of REST by walking through the process of deriving it as an architectural style.

W dokumencie nie ma nic o REST jako standardzie (a przynajmniej ja nie znalazłem). IMO ciężko znaleźć bardziej "legitne" źródło definiowania REST-a niż treści od Fieldinga - https://en.wikipedia.org/wiki/Roy_Fielding.

Fielding Dissertation: CHAPTER 5: Representational State Transfer (REST)

Uci

elszczepano 2024-01-17T14:23:41+01:00

@szczekoscisk

Ogolnie dział "Metody i nagłówki HTTP" powinien pójść do kosza. REST konkretnie określa pewne zasady. To że mamy API które używa json'ow nie czyni go REST API.

Tu też bym polemizował. To że jest coś opisane jako standard to nie znaczy, że każdy się do niego stosuje. Co do ostatniego zdania całkowita zgoda, REST API nawet nie musi ani wykorzystywać HTTP ani JSON-a. Nie zmienia to jednak faktu, że przeciętny user mówiąc o REST API ma na myśli właśnie HTTP gadającego po JSON-ie, co zresztą pokazuje praktyka. Przez kilka lat pracy i integracji z licznymi API nie przypominam sobie sytuacji bym znalazł API gdzie ktoś podszedł do tematu inaczej.

szczekoscisk 2024-01-17T19:40:24+01:00

Wychodzi na to że nie dokonać znam REST API 😅

Ale nadal pozostaje przy zdaniu że REST API nie można nazwać stylem architektury oprogramowania bo definiuje tylko jeden z elementów aplikacji czyli API. Ale to powinienem dyskutować już z samym twórca RESTa 😏

Zaloguj się aby komentować