Esta es una pregunta muy compleja y requiere trabajar en diferentes niveles:
Primero a partir de: nivel del sistema y asegurar el protocolo, el nivel web y los servidores, después de pensar que hizo todo el trabajo, use el servicio de escaneo gratuito #Commodo para verificar que lo hizo bien.
El segundo nivel es la API en sí de manera genérica, utilizando tokens, mecanismo para producir tokens (oauth u otro), permisos, caducidad de tokens, etc. Debe tener los elementos correctos para autenticar las solicitudes, asegurándose de que provengan del lugar correcto y de cualquier solicitud. puede identificarse y atribuirse a una entidad autorizada (tokens, etc.). Esto se puede copiar fácilmente de las API abiertas existentes, como las API de Facebook y similares.
- ¿Cuál es su reacción personal después de visitar mi sitio? http://www.globalgestalt.com/#!home/c19y9? ¿Cómo mejorar? Estoy a punto de actualizar. ¡Las propinas son bienvenidas!
- ¿Qué necesito para crear un sitio web donde las personas puedan comprar y vender cosas?
- ¿Cuál es el mejor entorno de desarrollo para Rails en una Mac?
- ¿Cuánto tiempo lleva aprender JavaScript para convertirse en desarrollador web?
- Cómo ordenar una lista desordenada en HTML
El tercer nivel es la lógica de la aplicación, asegurándose de que los datos enviados fuera del sistema no utilicen identificadores de objetos internos que puedan ser manipulados por la API usando la parte o la aplicación, sin revelar identificadores internos de objetos importantes, sin depender de la información proveniente del cliente información (como el precio del producto) pero obteniendo la información nuevamente del origen del objeto (db) y aplicando esta información en las operaciones. Otra cosa importante es la operación de alcance a un alcance limitado específico que está determinado por el token y sus permisos, si se proporciona un token de operación de API, debe usarse para identificar el alcance correcto (como el usuario) y usar la identificación de esa entidad en cada posible operación internamente, incluso si es redundante, se asegurará de que nunca vaya más allá del alcance de lo que permite el token e incluso si se ejecuta una operación maliciosa o pirateada, siempre estará en el contexto de una entidad única y no del sistema amplio.