Как защитить WEB-API

@mirok86 · Регистрация: 27.02.2013

Студворк — интернет-сервис помощи студентам

Добрый день всем!

Я сразу прошу прощение, если вдруг создал похожий топик, но поиск мне ничего похожего не выдал.

Итак,к сути..

Имеется задумка создать распределенное приложение состоящее из WEB-API на ASP.NET и клиенты(сайт и iOS,Android устройства), которые в дальнейшем будут работать с этим API.

И сразу же встал вопрос по поводу безопасности работы с WEB-API.
Изначально рассматривался вариант работы с токеном, который бы генерировался сервером(после приема верного логина и пароля) и передавался клиенту, который в дальнейшем слал бы команды, используя этот токен. Но, как я понял, в данном варианте есть опасность того, что злоумышленник может перехватить токен и использовать его в своих целях.

Вторым вариантом было использование пары public private key (подход RSA). Тут возник вопрос о том, что именно шифровать, то ли токен(тогда как защитить ответ от сервера?) или токен+данные(наверное, будет сильно тормозить да и как реализовать я не представляю).

И,наконец, третий вариант. Использовать SSL/TLS. Вот тут мои теоретические знания очень скудны(информация из гугла лишь запутала). Встал вопрос, возможно ли реализовать следующий сценарий безопасности:
использование шифрованного токена для аутентификации + установка защищенного соединения между клиентом и сервером засчет наличия и у того, и у другого самоподписанного сертификата?

Подскажите пожалуйста, как лучше всего обезопасить WEB API в данном случае? Возможно ли использовать последний вариант?

Благодарю за внимание, надеюсь на вашу помощь.

Новые блоги и статьи Все статьи Все блоги /
Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK сделайте это, JDK, то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера . . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .
Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .

@mirok86 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 4

	Как защитить WEB-API 19.08.2013, 12:55. Показов 1768. Ответов 0 Метки нет (Все метки) Добрый день всем! Я сразу прошу прощение, если вдруг создал похожий топик, но поиск мне ничего похожего не выдал. Итак,к сути.. Имеется задумка создать распределенное приложение состоящее из WEB-API на ASP.NET и клиенты(сайт и iOS,Android устройства), которые в дальнейшем будут работать с этим API. И сразу же встал вопрос по поводу безопасности работы с WEB-API. Изначально рассматривался вариант работы с токеном, который бы генерировался сервером(после приема верного логина и пароля) и передавался клиенту, который в дальнейшем слал бы команды, используя этот токен. Но, как я понял, в данном варианте есть опасность того, что злоумышленник может перехватить токен и использовать его в своих целях. Вторым вариантом было использование пары public private key (подход RSA). Тут возник вопрос о том, что именно шифровать, то ли токен(тогда как защитить ответ от сервера?) или токен+данные(наверное, будет сильно тормозить да и как реализовать я не представляю). И,наконец, третий вариант. Использовать SSL/TLS. Вот тут мои теоретические знания очень скудны(информация из гугла лишь запутала). Встал вопрос, возможно ли реализовать следующий сценарий безопасности: использование шифрованного токена для аутентификации + установка защищенного соединения между клиентом и сервером засчет наличия и у того, и у другого самоподписанного сертификата? Подскажите пожалуйста, как лучше всего обезопасить WEB API в данном случае? Возможно ли использовать последний вариант? Благодарю за внимание, надеюсь на вашу помощь. 0