Restful-security
提供:Dev Guides
RESTful Webサービス-セキュリティ
RESTful WebサービスはHTTP URLパスと連携するため、Webサイトが保護されるのと同じ方法でRESTful Webサービスを保護することが非常に重要です。
以下は、RESTful Webサービスを設計する際に従うべきベストプラクティスです-
- 検証-サーバー上のすべての入力を検証します。 サーバーをSQLまたはNoSQLインジェクション攻撃から保護します。
- セッションベース認証-Webサービスメソッドにリクエストが行われるたびに、セッションベース認証を使用してユーザーを認証します。
- * URLに機密データはありません*-URLでユーザー名、パスワード、またはセッショントークンを使用しないでください。これらの値はPOSTメソッドを介してWebサービスに渡す必要があります。
- メソッド実行の制限-GET、POST、DELETEメソッドなどのメソッドの使用制限を許可します。 GETメソッドはデータを削除できません。
- 不正な形式のXML/JSONの検証-Webサービスメソッドに渡された整形式の入力を確認します。
- 一般的なエラーメッセージをスロー-Webサービスメソッドは、403などのHTTPエラーメッセージを使用してアクセス禁止などを表示する必要があります。
HTTPコード
Sr.No. | HTTP Code & Description |
---|---|
1 |
200
|
2 |
201
|
3 |
204
|
4 |
304
|
5 |
400
|
6 |
401
|
7 |
403
|
8 |
404
|
9 |
409
|
10 |
500
|