X
プログラマー来てくれ!
■ このスレッドは過去ログ倉庫に格納されています
0001風吹けば名無し
垢版 |
2022/11/18(金) 14:13:35.92ID:H3CL6VBC0
APIって普通にやってたら保護されるもんなの???
0002風吹けば名無し
垢版 |
2022/11/18(金) 14:15:24.31ID:H3CL6VBC0
例えば多くのアプリでアプリ名/API名でAPIと連携しとるけどこのAPI名がバレたら色んなところからAPI接続されるもんなの?
0003風吹けば名無し
垢版 |
2022/11/18(金) 14:16:05.45ID:H3CL6VBC0
例えばこれなんだけどAPIコントロール名複雑にしとったほうがええんか?

https://i.imgur.com/tAFdI7I.png
0004風吹けば名無し
垢版 |
2022/11/18(金) 14:17:32.64ID:piR0aPoK0
何を言いたいのかが分からん
0005風吹けば名無し
垢版 |
2022/11/18(金) 14:18:44.41ID:oNO/umpzd
apiの意味わかってるか?
0006風吹けば名無し
垢版 |
2022/11/18(金) 14:18:58.93ID:n01qha6OM
当然対策してなければ許可してないところからapiにアクセスされるやろ
0007風吹けば名無し
垢版 |
2022/11/18(金) 14:19:08.62ID:F3AWyeVK0
マイナンバーがバレたら口座残高が全部筒抜けみたいなレベルのガイジ理論や
0008風吹けば名無し
垢版 |
2022/11/18(金) 14:19:35.59ID:H3CL6VBC0
>>4
だからブラウザ側はAPIキーと変数とか投げるやん?
そんでサーバー側のAPIコントローラーとかで受けるわけやけどこのサーバー側で受け取るAPI名(例えばここでは"Article")が投げられたらそれを処理されてしまうってことやろ?
0009風吹けば名無し
垢版 |
2022/11/18(金) 14:19:49.42ID:XWK95zkf0
C#ガイジはこんなレベルでイキっとるんか
0010風吹けば名無し
垢版 |
2022/11/18(金) 14:19:49.45ID:H3CL6VBC0
>>5
なんだよ
おしえろよ
0011風吹けば名無し
垢版 |
2022/11/18(金) 14:20:57.05ID:H3CL6VBC0
>>6
対策といえば例えば?
0012風吹けば名無し
垢版 |
2022/11/18(金) 14:21:13.20ID:n01qha6OM
こいつC#ガイジかよ
レベル低すぎやろ
0013風吹けば名無し
垢版 |
2022/11/18(金) 14:22:42.21ID:CMrv+1Nqp
まずお前の立場がわからん
apiを作成してるサーバー側なのか
apiを利用するクライアント側7日
0014風吹けば名無し
垢版 |
2022/11/18(金) 14:22:55.23ID:H3CL6VBC0
>>7
ほんで実際どうなん?
ここでいうと
アプリ名.ArticleのGetAsyncを動作させたらこのサーバーのGetメソッドが動くんか?
0015風吹けば名無し
垢版 |
2022/11/18(金) 14:23:19.85ID:H3CL6VBC0
>>13
フルスタックエンジニアって知っとる??
0016風吹けば名無し
垢版 |
2022/11/18(金) 14:23:21.37ID:HzEoMOk40
非公開にするんならPublicやめてPrivateにしたらどうや?
0017風吹けば名無し
垢版 |
2022/11/18(金) 14:24:51.45ID:H3CL6VBC0
>>16
publicクラスじゃなくてprivateクラスってことか?
そしたらちゃんと実装してるアプリ側からサーバーにAPI呼び出されんのちゃうか?
0018風吹けば名無し
垢版 |
2022/11/18(金) 14:25:05.78ID:H3CL6VBC0
>>12
ほんで?
教えろよ
0019風吹けば名無し
垢版 |
2022/11/18(金) 14:25:27.85ID:H3CL6VBC0
>>9
お前もそんなレベルでイキっとるやん?
0020風吹けば名無し
垢版 |
2022/11/18(金) 14:25:41.50ID:F3AWyeVK0
>>14
小泉進次郎「非公開にしたいAPIは公開するべきではない」
0021風吹けば名無し
垢版 |
2022/11/18(金) 14:25:50.19ID:eoyPyNz00
>>11
オーソドックスなんはアクセストークン用意するとか
0022風吹けば名無し
垢版 |
2022/11/18(金) 14:26:29.24ID:piR0aPoK0
何がしたいか良く分からんけど
呼び出し元を限定したら良いだけなんじゃない?
0023風吹けば名無し
垢版 |
2022/11/18(金) 14:27:01.26ID:H3CL6VBC0
ASP.NETのAPIController機能使ってたから大丈夫だろうとは思ったんやけど
あれ?実際どうなんだ?ってふと思った次第やね
0024風吹けば名無し
垢版 |
2022/11/18(金) 14:27:04.38ID:HzEoMOk40
>>17
Privateにしたら直接参照できなくなるだけや
Public関数がPrivate関数の呼び出しはできるが
そういうことを聞いてるのか?
0025風吹けば名無し
垢版 |
2022/11/18(金) 14:27:10.57ID:XWK95zkf0
>>19
なんでもええけど普通は社内の先輩とかに聞くよね?相手してもらえないんか?
0026風吹けば名無し
垢版 |
2022/11/18(金) 14:27:16.75ID:uQQcBSgh0
privateでreadonlyて3行下で何も文句言われんの?
0027風吹けば名無し
垢版 |
2022/11/18(金) 14:27:17.16ID:H3CL6VBC0
>>20
というと?
0028風吹けば名無し
垢版 |
2022/11/18(金) 14:27:27.37ID:N7zGTYjqr
C♯出来るとかイッチすご過ぎんかワイはCすら良く分からなくて算数しか書けんわ
0029風吹けば名無し
垢版 |
2022/11/18(金) 14:27:34.54ID:wI2N+FgD0
バカじゃねえの接続制限せんのかな
0030風吹けば名無し
垢版 |
2022/11/18(金) 14:27:43.15ID:H3CL6VBC0
>>25
いや趣味でやっとるから聞いとるんやが
0031風吹けば名無し
垢版 |
2022/11/18(金) 14:28:14.21ID:eoyPyNz00
>>22
api自体に影響なくてお手軽なんはこれやなろな
0032風吹けば名無し
垢版 |
2022/11/18(金) 14:28:16.20ID:qF8FJOodM
そういうのを保護するためにapi-keyとかがあるんじゃん
0033風吹けば名無し
垢版 |
2022/11/18(金) 14:28:37.92ID:F3AWyeVK0
>>27
玄関の入り口をわかりにくい場所に設置する事は鍵の代わりにはならない
0034風吹けば名無し
垢版 |
2022/11/18(金) 14:29:03.98ID:H3CL6VBC0
>>21
ふむふむアクセストークンって聞いたことあるわ
Wikiサイトとか作るときって誰もが書き込めるってのがコンセプトやからアカウントとか作らんやん?
その時アクセストークンってどうやって用意するもんなの?
0035風吹けば名無し
垢版 |
2022/11/18(金) 14:29:23.66ID:H3CL6VBC0
>>22
どうやるん?
0036風吹けば名無し
垢版 |
2022/11/18(金) 14:29:45.27ID:H3CL6VBC0
>>24
そういう関数があるってこと?
0037風吹けば名無し
垢版 |
2022/11/18(金) 14:30:15.74ID:TmVRzIZvM
なんJでイキってるやつが知らない内容ではないよな
こいつガチのガイジやろ
0038風吹けば名無し
垢版 |
2022/11/18(金) 14:30:17.36ID:H3CL6VBC0
>>26
言われんな
これはインターフェイスや
0039風吹けば名無し
垢版 |
2022/11/18(金) 14:30:24.08ID:uQQcBSgh0
使用可能なサービスをカプセル化しとるだけやろ
何の心配しとるんかようわからんわ
0040風吹けば名無し
垢版 |
2022/11/18(金) 14:30:26.30ID:H3CL6VBC0
>>28
えへへ
0041風吹けば名無し
垢版 |
2022/11/18(金) 14:30:35.60ID:H3CL6VBC0
>>29
どうやんの?
0042風吹けば名無し
垢版 |
2022/11/18(金) 14:30:58.83ID:H3CL6VBC0
>>32
それがいわゆるAPIコントローラー名やろ?
0043風吹けば名無し
垢版 |
2022/11/18(金) 14:31:01.48ID:aqwhsf/+d
フレームワークしか覚えんで低レベル分からんとこういう認識になるんやな
0044風吹けば名無し
垢版 |
2022/11/18(金) 14:31:26.21ID:eoyPyNz00
>>34
君のやりたいことって、APIを呼び出せるのは自分で自作したアプリだけで、外部(curlとか)では呼び出せないようにしたいってことか?
0045風吹けば名無し
垢版 |
2022/11/18(金) 14:31:33.71ID:H3CL6VBC0
>>37
そんで君は知っとるん?
知らんやろどうせ
0046風吹けば名無し
垢版 |
2022/11/18(金) 14:31:53.84ID:HzEoMOk40
>>36
そもそもPublicとPrivateの違いは知っとるか?
0047風吹けば名無し
垢版 |
2022/11/18(金) 14:32:02.77ID:H3CL6VBC0
>>39
じゃあこの方法でAPI接続する場合は何も問題ないんか?
0048風吹けば名無し
垢版 |
2022/11/18(金) 14:32:27.33ID:eoyPyNz00
>>35
apiサーバの設定で接続可能なipを制限する
0049風吹けば名無し
垢版 |
2022/11/18(金) 14:32:36.74ID:H3CL6VBC0
>>46
いやクラスのprivate,publicはわかるよ
普通に今までC#使ってきとるし
0050風吹けば名無し
垢版 |
2022/11/18(金) 14:33:01.18ID:H3CL6VBC0
>>43
じゃあ教えて
0051風吹けば名無し
垢版 |
2022/11/18(金) 14:33:10.49ID:H3CL6VBC0
>>44
そう!
0052風吹けば名無し
垢版 |
2022/11/18(金) 14:33:35.05ID:TmVRzIZvM
>>45
知らんのガチでこの中ならお前だけやろ
アクセストークンがどういうものかまず知ってるんか?
0053風吹けば名無し
垢版 |
2022/11/18(金) 14:34:25.37ID:H3CL6VBC0
>>48
APIサーバー立ててないんよね
ASP.NETの便利機能でAPIControllerを作っただけや
その後インターフェースを作ってそのインターフェースにそってGetやPostを使っとるって感じや
0054風吹けば名無し
垢版 |
2022/11/18(金) 14:34:29.94ID:aqwhsf/+d
>>50
リファレンス読めばなんか書いてあるだろう
corsとかセッションとか
0055風吹けば名無し
垢版 |
2022/11/18(金) 14:34:50.20ID:H3CL6VBC0
>>52
知らん
そのアクセストークンはどうやって出せばええんや?
0056風吹けば名無し
垢版 |
2022/11/18(金) 14:35:02.92ID:H3CL6VBC0
>>54
知らんのかいな…
0057風吹けば名無し
垢版 |
2022/11/18(金) 14:35:06.12ID:LoGchYled
天才ハカーのワイに任せろ👨🏽‍💻👨🏾‍💻👨🏿‍💻
0058風吹けば名無し
垢版 |
2022/11/18(金) 14:35:15.98ID:H3CL6VBC0
>>57
教えてちょ
0059風吹けば名無し
垢版 |
2022/11/18(金) 14:35:22.63ID:JTre8teQ0
そもそもなんでC#なん?
0060風吹けば名無し
垢版 |
2022/11/18(金) 14:35:56.69ID:TmVRzIZvM
>>55
例えばアカウント毎にサーバーからアクセストークン発行するとか
0061風吹けば名無し
垢版 |
2022/11/18(金) 14:36:19.85ID:H3CL6VBC0
>>59
C#が好きやからやな
APIコントローラーもめっちゃ簡単に作れる
上に上げとる画像のように書けば簡単に作れるで
0062風吹けば名無し
垢版 |
2022/11/18(金) 14:37:19.87ID:H3CL6VBC0
>>60
それはアカウント作る場合やろ?
ワイのはウィキアプリやからアカウント作りたくない
そのクライアントアプリのみアクセストークン作るとかできるん?
0063風吹けば名無し
垢版 |
2022/11/18(金) 14:37:33.24ID:eoyPyNz00
>>51
ああなるほど
であればアクセストークンとか面倒なことは考えなくてもええで
いろいろやり方はあるけど
API側とアプリ側で秘密のkeyを持たせる
APIサーバでアプリサーバのIP以外は弾く
とか
0064風吹けば名無し
垢版 |
2022/11/18(金) 14:38:09.98ID:H3CL6VBC0
>>63
どうやんの?
APIコントローラーのところにどう書けばええんや?
0065風吹けば名無し
垢版 |
2022/11/18(金) 14:38:14.29ID:qF8FJOodM
>>42
違うやろ
apiコントローラーのコントローラーってmvcのcとかの意味合いやないんか

ブラウザでやるならベーシック認証でやれアプリなら難読化しろ
そしてcookieでセッション管理しろ
0066風吹けば名無し
垢版 |
2022/11/18(金) 14:39:17.85ID:H3CL6VBC0
>>65
ベーシック認証ってどうやるんや?
原理教えてくれ
0067風吹けば名無し
垢版 |
2022/11/18(金) 14:40:27.71ID:H3CL6VBC0
とりあえずこのコントローラーのファイルアップロードするから少しまっとれ
0068風吹けば名無し
垢版 |
2022/11/18(金) 14:40:31.19ID:QUUHt33U0
匿名掲示板でハッカーぶってる奴ってやっぱこのレベルだよな
0069風吹けば名無し
垢版 |
2022/11/18(金) 14:41:57.26ID:qF8FJOodM
>>66
お前さんやばいやろ、ただの名前とパスやん調べたら沢山あるやろ
しょーもないサービスだろうしDBに適当に登録しとけばええんやない
0071風吹けば名無し
垢版 |
2022/11/18(金) 14:43:31.01ID:H3CL6VBC0
>>68
ほんでどうするんや?
0072風吹けば名無し
垢版 |
2022/11/18(金) 14:43:55.14ID:TmVRzIZvM
>>62
アカウント作りたくないなら突き詰めれば完全な対策は無理やろ
それを分かった上で、ipで弾くとか荒らされてるページだけアカウント必須にするとか、暗号化とか難読化で頑張るしか
0073風吹けば名無し
垢版 |
2022/11/18(金) 14:44:04.96ID:H3CL6VBC0
>>69
しゃーない調べるか
0074風吹けば名無し
垢版 |
2022/11/18(金) 14:45:02.51ID:H3CL6VBC0
>>72
う~ん…
難しいんか…
まぁしゃーないか
0075風吹けば名無し
垢版 |
2022/11/18(金) 14:45:21.96ID:g71KI4RP0
OAuth認証実装するしか
特定のリソースからしかアクセスされないならCORSでええんちゃう
0076風吹けば名無し
垢版 |
2022/11/18(金) 14:48:32.49ID:H3CL6VBC0
ブラウザ側は
_http.GetFromJsonAsync(〇〇)でAPI投げとる
戻り値がリストやからAsyncと()の間にArticleを参照したListってのが入っとるわ
0077風吹けば名無し
垢版 |
2022/11/18(金) 14:49:18.50ID:H3CL6VBC0
みんな
Wikiを作るものとしてどうすればいいのか考えてくれ
0078風吹けば名無し
垢版 |
2022/11/18(金) 14:51:13.18ID:H3CL6VBC0
こういう実践的なやつってプログラミング教室でも教えてくれるんやろか?
0079風吹けば名無し
垢版 |
2022/11/18(金) 14:51:29.36ID:2QX898fj0
teratailで聞け定期
0081風吹けば名無し
垢版 |
2022/11/18(金) 14:52:19.40ID:2gy2M5DBa
jwt認証するんや
0082風吹けば名無し
垢版 |
2022/11/18(金) 14:53:46.31ID:H3CL6VBC0
>>80
SQLインジェクションはEntityFramework使っとるから対策はされとる
問題はサーバー側が同じAPIを他のアプリから受け取った場合や
これどうすんやろ?謎や
0083風吹けば名無し
垢版 |
2022/11/18(金) 14:56:27.49ID:H3CL6VBC0
>>81
ユーザーじゃなくてウェブアプリ単体に権利与えるみたいなことできない?
0084風吹けば名無し
垢版 |
2022/11/18(金) 14:56:49.99ID:H3CL6VBC0
このアプリから発信されたAPIだけ認めますよ的な
0085風吹けば名無し
垢版 |
2022/11/18(金) 14:58:41.17ID:5OdeegLc0
httpsしろ
0086風吹けば名無し
垢版 |
2022/11/18(金) 14:59:09.77ID:7pZgib8y0
散々玄人ぶってイキってたC#ガイジが質問スレwwww
お前が買った猫でも分かるみたいな技術書読めば解決するんじゃねえの???
0088風吹けば名無し
垢版 |
2022/11/18(金) 15:02:57.13ID:H3CL6VBC0
>>86
あれはアカウント管理のアクセストークン出すやつだからね
ウェブアプリ単体にアクセストークンみたいなやつを仕込むやつは書いてない
0089風吹けば名無し
垢版 |
2022/11/18(金) 15:03:33.72ID:H3CL6VBC0
>>87
Oauth認証ってどんな感じなん?
なんか調べたけどアカウント管理のような気がしたけど
0090風吹けば名無し
垢版 |
2022/11/18(金) 15:04:05.01ID:H3CL6VBC0
>>85
HttpClientは使ってる
0091風吹けば名無し
垢版 |
2022/11/18(金) 15:04:05.15ID:U9eUZzbM0
アプリで区別するのはできない
全員にユーザー作らせてユーザー認証かけて不正な使い方してるやつを蹴るしかないで
いやマジで
大手みんなそうしてる
0092風吹けば名無し
垢版 |
2022/11/18(金) 15:04:36.80ID:H3CL6VBC0
>>91
そうなんだ…
色々ありがとう
なんJってまだ死んでなかったんだな
0093風吹けば名無し
垢版 |
2022/11/18(金) 15:04:58.28ID:H3CL6VBC0
何もできないPython信者だらけだと思ってたわ
0094風吹けば名無し
垢版 |
2022/11/18(金) 15:05:41.66ID:YLQpTMeUa
>>89
ざっくりユーザー認証であっとる
アクセストークン発行してそいつがおるか、権限持っとるかで判断する
0095風吹けば名無し
垢版 |
2022/11/18(金) 15:06:05.15ID:7pZgib8y0
>>93
もはや全員が敵=Python信者だと思い込んでるやん
糖質の才能あるで
0096風吹けば名無し
垢版 |
2022/11/18(金) 15:06:35.53ID:U9eUZzbM0
そもそもAPI保護できるなら末尾dガイジとかに荒らされたりしないだろ
あいつ確実にAPI抜いとるやん
0097風吹けば名無し
垢版 |
2022/11/18(金) 15:07:58.01ID:H3CL6VBC0
>>94
なるほど…
このアプリとは求めとること違うからいいわ
0098風吹けば名無し
垢版 |
2022/11/18(金) 15:08:10.78ID:H3CL6VBC0
>>95
なんやこいつ…
0099風吹けば名無し
垢版 |
2022/11/18(金) 15:08:42.66ID:H3CL6VBC0
>>96
末尾dガイジ知らんけどありがとう
0100風吹けば名無し
垢版 |
2022/11/18(金) 15:09:36.45ID:7pZgib8y0
>>98
それはお前じゃC#ガイジ
毎日毎日Python煽ったりC#信仰布教するスレ立てまくってる奴がよ
0101風吹けば名無し
垢版 |
2022/11/18(金) 15:10:14.28ID:U9eUZzbM0
そういや末尾dガイジみなくなったけど対策されたんかな?
0102風吹けば名無し
垢版 |
2022/11/18(金) 15:11:04.69ID:cN+0H76D0
このレベルでイキっとるから
C#ガイジは最高にガイジなんよな
0103風吹けば名無し
垢版 |
2022/11/18(金) 15:12:45.92ID:YLQpTMeUa
oath認証も知らんのか
基本設計もせんのか?趣味でも
普通するで
0104風吹けば名無し
垢版 |
2022/11/18(金) 15:12:54.86ID:6sVb2J1L0
バカ過ぎて殺したくなる
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況