プログラマー来てくれ!
■ このスレッドは過去ログ倉庫に格納されています
APIって普通にやってたら保護されるもんなの??? 例えば多くのアプリでアプリ名/API名でAPIと連携しとるけどこのAPI名がバレたら色んなところからAPI接続されるもんなの? 例えばこれなんだけどAPIコントロール名複雑にしとったほうがええんか?
https://i.imgur.com/tAFdI7I.png 当然対策してなければ許可してないところからapiにアクセスされるやろ マイナンバーがバレたら口座残高が全部筒抜けみたいなレベルのガイジ理論や >>4
だからブラウザ側はAPIキーと変数とか投げるやん?
そんでサーバー側のAPIコントローラーとかで受けるわけやけどこのサーバー側で受け取るAPI名(例えばここでは"Article")が投げられたらそれを処理されてしまうってことやろ? まずお前の立場がわからん
apiを作成してるサーバー側なのか
apiを利用するクライアント側7日 >>7
ほんで実際どうなん?
ここでいうと
アプリ名.ArticleのGetAsyncを動作させたらこのサーバーのGetメソッドが動くんか? 非公開にするんならPublicやめてPrivateにしたらどうや? >>16
publicクラスじゃなくてprivateクラスってことか?
そしたらちゃんと実装してるアプリ側からサーバーにAPI呼び出されんのちゃうか? >>14
小泉進次郎「非公開にしたいAPIは公開するべきではない」 >>11
オーソドックスなんはアクセストークン用意するとか 何がしたいか良く分からんけど
呼び出し元を限定したら良いだけなんじゃない? ASP.NETのAPIController機能使ってたから大丈夫だろうとは思ったんやけど
あれ?実際どうなんだ?ってふと思った次第やね >>17
Privateにしたら直接参照できなくなるだけや
Public関数がPrivate関数の呼び出しはできるが
そういうことを聞いてるのか? >>19
なんでもええけど普通は社内の先輩とかに聞くよね?相手してもらえないんか? privateでreadonlyて3行下で何も文句言われんの? C♯出来るとかイッチすご過ぎんかワイはCすら良く分からなくて算数しか書けんわ >>22
api自体に影響なくてお手軽なんはこれやなろな そういうのを保護するためにapi-keyとかがあるんじゃん >>27
玄関の入り口をわかりにくい場所に設置する事は鍵の代わりにはならない >>21
ふむふむアクセストークンって聞いたことあるわ
Wikiサイトとか作るときって誰もが書き込めるってのがコンセプトやからアカウントとか作らんやん?
その時アクセストークンってどうやって用意するもんなの? なんJでイキってるやつが知らない内容ではないよな
こいつガチのガイジやろ 使用可能なサービスをカプセル化しとるだけやろ
何の心配しとるんかようわからんわ >>32
それがいわゆるAPIコントローラー名やろ? フレームワークしか覚えんで低レベル分からんとこういう認識になるんやな >>34
君のやりたいことって、APIを呼び出せるのは自分で自作したアプリだけで、外部(curlとか)では呼び出せないようにしたいってことか? >>37
そんで君は知っとるん?
知らんやろどうせ >>36
そもそもPublicとPrivateの違いは知っとるか? >>39
じゃあこの方法でAPI接続する場合は何も問題ないんか? >>35
apiサーバの設定で接続可能なipを制限する >>46
いやクラスのprivate,publicはわかるよ
普通に今までC#使ってきとるし >>45
知らんのガチでこの中ならお前だけやろ
アクセストークンがどういうものかまず知ってるんか? >>48
APIサーバー立ててないんよね
ASP.NETの便利機能でAPIControllerを作っただけや
その後インターフェースを作ってそのインターフェースにそってGetやPostを使っとるって感じや >>50
リファレンス読めばなんか書いてあるだろう
corsとかセッションとか >>52
知らん
そのアクセストークンはどうやって出せばええんや? >>55
例えばアカウント毎にサーバーからアクセストークン発行するとか >>59
C#が好きやからやな
APIコントローラーもめっちゃ簡単に作れる
上に上げとる画像のように書けば簡単に作れるで >>60
それはアカウント作る場合やろ?
ワイのはウィキアプリやからアカウント作りたくない
そのクライアントアプリのみアクセストークン作るとかできるん? >>51
ああなるほど
であればアクセストークンとか面倒なことは考えなくてもええで
いろいろやり方はあるけど
API側とアプリ側で秘密のkeyを持たせる
APIサーバでアプリサーバのIP以外は弾く
とか >>63
どうやんの?
APIコントローラーのところにどう書けばええんや? >>42
違うやろ
apiコントローラーのコントローラーってmvcのcとかの意味合いやないんか
ブラウザでやるならベーシック認証でやれアプリなら難読化しろ
そしてcookieでセッション管理しろ >>65
ベーシック認証ってどうやるんや?
原理教えてくれ とりあえずこのコントローラーのファイルアップロードするから少しまっとれ 匿名掲示板でハッカーぶってる奴ってやっぱこのレベルだよな >>66
お前さんやばいやろ、ただの名前とパスやん調べたら沢山あるやろ
しょーもないサービスだろうしDBに適当に登録しとけばええんやない >>62
アカウント作りたくないなら突き詰めれば完全な対策は無理やろ
それを分かった上で、ipで弾くとか荒らされてるページだけアカウント必須にするとか、暗号化とか難読化で頑張るしか >>72
う~ん…
難しいんか…
まぁしゃーないか OAuth認証実装するしか
特定のリソースからしかアクセスされないならCORSでええんちゃう ブラウザ側は
_http.GetFromJsonAsync(〇〇)でAPI投げとる
戻り値がリストやからAsyncと()の間にArticleを参照したListってのが入っとるわ みんな
Wikiを作るものとしてどうすればいいのか考えてくれ こういう実践的なやつってプログラミング教室でも教えてくれるんやろか? >>80
SQLインジェクションはEntityFramework使っとるから対策はされとる
問題はサーバー側が同じAPIを他のアプリから受け取った場合や
これどうすんやろ?謎や >>81
ユーザーじゃなくてウェブアプリ単体に権利与えるみたいなことできない? 散々玄人ぶってイキってたC#ガイジが質問スレwwww
お前が買った猫でも分かるみたいな技術書読めば解決するんじゃねえの??? >>86
あれはアカウント管理のアクセストークン出すやつだからね
ウェブアプリ単体にアクセストークンみたいなやつを仕込むやつは書いてない >>87
Oauth認証ってどんな感じなん?
なんか調べたけどアカウント管理のような気がしたけど アプリで区別するのはできない
全員にユーザー作らせてユーザー認証かけて不正な使い方してるやつを蹴るしかないで
いやマジで
大手みんなそうしてる >>91
そうなんだ…
色々ありがとう
なんJってまだ死んでなかったんだな >>89
ざっくりユーザー認証であっとる
アクセストークン発行してそいつがおるか、権限持っとるかで判断する >>93
もはや全員が敵=Python信者だと思い込んでるやん
糖質の才能あるで そもそもAPI保護できるなら末尾dガイジとかに荒らされたりしないだろ
あいつ確実にAPI抜いとるやん >>94
なるほど…
このアプリとは求めとること違うからいいわ >>98
それはお前じゃC#ガイジ
毎日毎日Python煽ったりC#信仰布教するスレ立てまくってる奴がよ そういや末尾dガイジみなくなったけど対策されたんかな? このレベルでイキっとるから
C#ガイジは最高にガイジなんよな oath認証も知らんのか
基本設計もせんのか?趣味でも
普通するで ■ このスレッドは過去ログ倉庫に格納されています