¿Cuál es la forma más segura de implementar una API de ‘súper administrador’ para su aplicación web?

Lo primero en lo que debe pensar es si todas las conexiones provendrán de una sola API, en otras palabras, si la administra desde un software cargado en una red y se conecta desde una dirección IP estática, o si está utilizando un dispositivo móvil con un dispositivo nativo aplicación instalada que tendrá una nueva dirección IP cada vez que se mueva entre torres. La razón por la que señalo esto es por la restricción del nivel de IP, pero en el nivel más básico, las formas más comunes de restringir el acceso a la API de “superusuario” de esta manera son …

  • Restrinja las conexiones solo a IP confiables
  • Todas las comunicaciones deben realizarse a través de una conexión HTTPS
  • Use sesiones de muy corta duración, IE: 1 minuto de tiempo de inactividad y la sesión expira
  • Cada solicitud debe tener una ID de sesión válida que se verifica cada vez para garantizar que la sesión sea válida.
  • Use un certificado de cliente encima de una ID de usuario para validar el dispositivo y el usuario
  • Si ambos sistemas están en la misma red, restrinja la API de súper administrador a la red local y no permita el acceso a ella a través de Internet

Related Content

¿Qué es Mongrel2 en términos simples?

¿Cuál es la mejor manera de mover un sitio web de WordPress de una empresa de hosting a otra?

¿Cuál es el mejor libro o sitio web para aprender HTML?

¿Hay algún sitio web del gobierno o de la universidad que use WordPress en India?

¿Qué pasa con el futuro de Python y Django?

En general, el súper administrador debe autenticarse a través de un punto final que devolvería un token con una marca de tiempo de vencimiento. Debe crear una especie de función global catch all que verifique la existencia y validez de este token antes de cada llamada a la API. Y también tiendo a eliminar los registros de forma bastante simple, eliminarlos de la tabla. Muchos marcos de todas las tecnologías tienen compatibilidad inmediata para la generación y validación del token. Es posible que desee verificar algunas bibliotecas antes de implementar su propia implementación.

Qamar Uddin

More Interesting

¿Se puede usar WebStorm para ejecutar código AngularJS?

¿Cuál tiene un futuro mejor: web2py o Ruby on Rails?

¿Cuál es la mejor manera para que un principiante comience a aprender Ruby on Rails?

¿Es fácil estructurar sus pensamientos mientras codifica en Node.js vs Python / PHP, ya que es Javascript?

¿Ponemos el dentro de ?

¿Qué puedo hacer con HTML, CSS y bootstrap?

Cómo conseguir un trabajo como desarrollador web y qué debe aprender para ser desarrollador web

Cómo obtener el DOM de una página web si tengo su URL usando JavaScript

¿Qué es diferente b / w angular js y angular 2?

¿Qué herramientas necesito para construir un sitio web para un cliente?

¿Qué es la artesanía?

¿Quién es el primer empleado en incorporar el diseño a una startup tecnológica, Jefe de Diseño, Jefe de UX, Jefe de Diseño de Producto u otro título?

¿Por qué el desarrollo de gemas en Ruby on Rails se está ralentizando?

¿Cuál debo elegir: MediaWiki o Tiki Wiki?

¿Por qué Javascript para frameworks es tan diferente de lo que un principiante aprende en Internet a través de libros y videos?