RESTful Web 服务 - 安全性
由于 RESTful Web 服务使用 HTTP URL 路径,因此以与保护网站相同的方式保护 RESTful Web 服务非常重要。
以下是设计 RESTful Web 服务时应遵循的最佳实践:
验证 - 在服务器上验证所有输入。保护您的服务器免受 SQL 或 NoSQL 注入攻击。
基于会话的身份验证 - 使用基于会话的身份验证来验证每次向 Web 服务方法发出请求时的用户。
URL 中不包含敏感数据 - 切勿在 URL 中使用用户名、密码或会话令牌,这些值应通过 POST 方法传递给 Web 服务。
限制方法执行 - 限制对 GET、POST 和 DELETE 方法等方法的使用。GET 方法不应能够删除数据。
验证格式错误的 XML/JSON - 检查传递给 Web 服务方法的输入是否格式正确。
抛出通用错误消息 - Web 服务方法应使用 HTTP 错误消息(例如 403 来显示访问被禁止等)。
HTTP 代码
| 序号 | HTTP 代码及说明 |
|---|---|
1 |
200 OK - 表示成功。 |
2 |
201 CREATED - 当使用 POST 或 PUT 请求成功创建资源时。使用 location 头返回新创建资源的链接。 |
3 |
204 NO CONTENT - 当响应正文为空时。例如,DELETE 请求。 |
4 |
304 NOT MODIFIED - 用于在条件 GET 请求的情况下减少网络带宽使用。响应正文应为空。标头应包含日期、位置等。 |
5 |
400 BAD REQUEST - 表示提供了无效输入。例如,验证错误、数据缺失。 |
6 |
401 UNAUTHORIZED - 表示用户使用无效或错误的身份验证令牌。 |
7 |
403 FORBIDDEN - 表示用户无权访问所使用方法。例如,无管理员权限的删除访问。 |
8 |
404 NOT FOUND - 表示该方法不可用。 |
9 |
409 CONFLICT - 表示在执行方法时发生冲突情况。例如,添加重复条目。 |
10 |
500 INTERNAL SERVER ERROR - 表示服务器在执行方法时抛出了一些异常。 |