在REST中对某些数据端点进行POST或GET验证？ - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

只需使用VS Code的REST客户端插件即可进行API调用

而这些数据绝大部分都是由 REST API 端点提供的，通俗地说：我们想要的数据存在于其他服务或数据库中，我们的应用程序查询该服务来检索数据，并根据自己的需要使用数据。...在过去，为了在连接 UI 以接受数据之前测试 REST API，通常必须通过终端的命令行查询 API，或者使用像 Insomnia 或 Postman 这样的 GUI(我在之前的博客中对它们进行了比较)...POST 示例我将介绍的第一个示例是 REST Client 的 POST，因为用户在我的应用程序中必须先注册才能进行其他任何操作（毕竟，这只是一个登录服务）。...在我的应用程序中，用户可以更新其名字，姓氏或电子邮件。因此，在传递正文时，如果 REST Client 成功击中 PUT 端点，则这就是 VS Code 中的 Response 选项卡的样子。...因此，事不宜迟，这里是我需要验证的端点之一：在数据库中查找用户的信息。

8.5K2 0

13 个设计 REST API 的最佳实践

但是，就 REST API 设计本身而言，所涉及到的 HTTP 知识要点大概包含以下几条： HTTP 中包含动词（或方法）： GET、POST、PUT、PATCH 还有 DELETE 是最常用的。...一个端点可以被解释为对某种资源进行的某个动作。比如， POST: /articles 可能代表“创建一个新的 article”。...这一点对于程序化客户端尤为重要（比如通过 python 的 requests 模块来与 api 进行交互）—— 这些程序是否对返回数据进行正确解码取决于这个头部。...这里提供两种方案：第一种方案通过在 URI 中，将嵌套的资源放在所关联的资源后边来进行描述，比如： GET: /authors/12/articles/ 一些人推荐这种方案的理由是，这种形式的...希望本文能使你了解到在构建更好的 REST API 服务的过程中，涉及到的一些建议和技巧。对我而言，应该把这些最佳实践归结为三点，分别是良好的语义，简洁和合理性。

3.6K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

WordPress REST API 内容注入漏洞分析

漏洞简介在REST API自动包含在Wordpress4.7以上的版本，WordPress REST API提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子...检索或更新数据与发送HTTP请求一样简单。...这个路由有三个端点： GET触发一个get_item方法，将post数据返回给客户端。 PUT触发一个update_item方法，使数据更新，并返回更新的发布数据。...可以看到在register_rest_route中对路由进行了正则限制： ? 也就是防止攻击者恶意构造ID值，但是我们可以发现$_GET和$_POST值优先于路由正则表达式生成的值： ?...另一个思路就是可以进行对原来文章中的指定超链接进行修改，从而进行钓鱼。还有一个思路，就是利用WordPress文章中解析html以及JavaScript文件包含的做法，辅助其他方法，进行攻击。

3.3K7 0

什么是REST API

REST API是两个计算机系统在web浏览器和服务器中使用HTTP技术进行通信的一种方式。在两个或多个系统之间共享数据一直是软件开发的一个基本要求。比如说，考虑购买汽车保险。...JSON响应是机器可读的，因此可以在输出HTML或其他格式之前被进行解析和使用。 REST APIs和Rest 多年来，各种数据通信标准已经发展起来。...在某个时间段特定于某个用户的私人数据通常不会被缓存。「分层」（Layered）：请求的客户端不需要知道它是否在与实际的服务器、代理或任何其他中间人进行通信。...不同的HTTP方法可以在任何端点上使用，这些方法映射到应用程序的创建、读取、更新和删除（CRUD）操作： HTTP方法CRUD行为GET读取返回请求数据POST创建创建一个新记录PUT 或者 PATCH...JWT允许服务器对访问权限进行编码，因此不需要调用数据库或其他授权系统。 API身份验证将根据使用上下文而有所不同：在某些情况下，第三方应用程序被视为像任何其他具有特定权利和权限的登录用户。

4.3K2 0

REST API 设计最佳实践：如何构建、设计和使用 API ？

（操作或方法）：最常见的是GET、POST、PUT、PATCH和DELETE。...REST以资源为导向，资源由URI表示：/library/ 端点（endpoint）是动词和URI的组合，例如：GET: /books/ 端点可以理解为对资源执行的操作。...我将注意到:param 是一个URI参数（如ID或缩写）的占位符，你第一个想法可能是创建类似于这个的端点： GET: /books/:slug/generateBookCover/ 但是，在这里GET方法在语法上足以说明我们正在获取...通过过滤，消费者可以指定返回项目应具有哪些参数（或属性）。分页允许用户逐步获取数据集。最简单类型的分页就是按页码进行分页，它由page和page size确定。...了解401未授权和403禁止之间的区别如果我每看到一次开发人员甚至有经验的架构师搞砸这个问题就能得到一个25美分硬币……在处理REST API中的安全错误时，很容易弄混错误是与身份验证还是授权（又称权限

4544 0

你真的知道你喜欢REST而不是RPC的原因吗？

在这篇文章中，当我谈论RPC我们一般都指的是：你的GET或POST方法是一个什么操作。使用这种类型的RPC，您可以通过HTTP作为传输协议来操作数据。...端点（或叫资源）包含要调用的操作的名称。这种风格的API基本上只使用两个http动词，那就是你熟悉的GET和POST。 GET /someoperation?...那些彻底不关心http动词或压根不知道的人来说，就会在GET和POST之间随机选择或总是使用POST。这种情况也是大多数情况，至少在国内来说。...如果你主要是处理数据，REST API可能更容易一些。但某些情况下，设计一个REST API似乎比RPC更难一点，因为它给你定了一个框框，让你实现一致的API，让你必需依赖于资源，而不是操作。...) /seeya 使用RPC，您依赖于人类对端点的含义的理解来理解它的作用，因此您可以对调用此端点时发生的事情进行精细的人工可读描述。

1.2K6 0

GraphQL与传统API对比介绍教程

引言在现代应用程序开发中，API（应用程序接口）扮演着至关重要的角色。随着技术的发展，API的实现方式也在不断进化。...本文将介绍两种常见的API实现方式：传统API（主要是REST）和GraphQL，并对它们进行对比分析。...RESTful API通过HTTP协议进行通信，使用标准的HTTP动词（GET、POST、PUT、DELETE）进行操作。...单一端点：所有查询通过一个端点完成，简化了API设计。强类型系统：提供了明确的类型定义和验证，减少了错误发生的可能。缺点：复杂性增加：GraphQL查询语言和架构需要一定的学习成本。...性能REST：可能需要多次请求才能获取嵌套资源，增加了网络开销。GraphQL：可以在一次请求中获取所有相关数据，但复杂查询可能增加服务器负担。

2501 0

你确定你的 REST API 真的符合 REST 规范？

RESTful API 背后的思想是遵循REST 规范中描述的所有架构规则和限制的方式进行开发。然而，实际上，这在实践中基本上是不可能的。一方面，REST 包含了太多模糊和模棱两可的定义。...验证输入数据 OpenAPI 不仅描述了响应格式，还描述了输入数据。这允许你在运行时验证用户发送的数据是否一致，以及数据库能够安全地进行更新。...基于客户端类型分离端点通常，相同的端点会根据客户端类型或发送请求的用户角色返回不同的数据。例如，对于移动应用程序用户和后台管理人员来说，GET /uses 端点可能存在很大的不同。...因此，如果要多次描述同一端点，可以在路径后面的括号中添加其类型。...在GitHub上发布发布文档的最简单方法之一是GitHub Page。只需在存储库设置中为 /docs 文件夹启用对静态页面的支持，并将 HTML 文档存储在此文件夹中即可。

2942 0

为什么GraphQL是API的未来

不过 REST 也确实存在很多问题。让我们看看它们是什么：太多的端点 REST 中的每个资源都由端点表示。因此，在实际的程序中，我们最终会为这些资源提供大量端点。...如果要发出 GET 请求，则需要具有特定参数并特定于该请求的端点。如果要发出 POST 请求，则需要该请求的另一个端点。 ? REST 有太多的端点但是这有什么问题呢？...如果我们想从两个不同的资源获取数据，就需要分别对两个不同的端点进行调用。在一个巨大的程序中，扩展性会很差，因为在某些情况下我们只需要获取特定的数据，而不是整个对象。...如上所述，这些问题是：表现不佳端点过多过度获取或欠缺数据每当我们要增加或删除某些内容时，需要开发另一个版本 API 难以理解考虑到许多概念，Facebook 的开发人员开使用了一种更好的方法来设计...GraphQL 只需要一个端点，通过它我们可以在单个请求中获得尽可能多的数据。基本上 GraphQL 会将你的所有查询、修改和订阅封装在一个端点中，并供你调用。

1.6K3 0

如何使用模拟框架测试微服务？ | 微服务系列第八篇

外部系统：要测试使用外部服务（如数据库，消息代理或遗留系统）的代码，需要运行这些外部系统。否则，无法正确评估该代码的功能。未实现的服务：在开发期间，某些服务可能无法使用，因为项目中存在意外延迟。...模拟框架提供了拦截对Java接口或类进行调用并返回测试可以使用的虚拟值的机制。与dummy服务不同，模拟框架方法不要求在外部启动这些服务或在Java代码中实例化它们以触发测试。...本文涵盖两个最常见的内容： Rest Assured使用流畅的接口调用REST API，它简化了使用任何测试框架（如JUnit或TestNG）在测试中进行REST调用的方式。...); 验证方法验证对模拟对象进行的方法调用。...该方法处理来自正文的输出，并使用as方法将其存储在变量中。在以下示例中，extract方法将来自REST端点调用执行的数据存储在body变量中。

3.6K2 0

猫头鹰的深夜翻译：对于RestAPI简单的基于身份的权限控制

实现角色时的注意事项不要将行为和验证细节耦合在许多系统中，开发人员通过直接在实现方法上指定权限来限制对特定操作的访问。没错，就在代码上！...这意味着可以轻而易举的获得资源的名称和对资源的操作。请求网关除了标准的建模操作之外，REST服务通常是请求流中评估身份验证和授权的好地方，因为这通常是系统的主要入口点。...为了使访问控制机制有意义，建议阻止所有其他到系统的路由，例如直接访问数据存储或代码中的任何远程调用机制。该架构的另一个重要优点是响应过滤，以防某些不应当返回给用户的数据写在响应中。...根据其他条件，访问可以仅限于应用程序端点的子集。例如，虽然version端点对所有人开放，但secret端点仅对经过身份验证的用户开放。...': - 'GET' - 'POST' - 'PUT' order_inspector: '/orders': - 'GET' 由此可见，REST天然能够实现权限控制

1K4 0

为云开发API接口的最佳方案

REST正在逐渐成为标准，并且取代了一些旧的SOAP API。根据文章后面的表1中的数据，这一点非常明显。 API认证每个云平台都使用不同类型的认证机制来访问API，了解这些认证机制很重要。...在你开始使用API之前，最好通过管理门户或仪表板进行操作去了解它们的运行原理。您使用API需要做的第一件事是进行身份验证，然后您可以在执行创建选项之前尝试基本的读取操作。...验证API端点 API端点与云平台管理网址不同。API端点通常包括主机，端口和路径。如果它是一个REST API，它还包含一个认证key和密钥。...API授权在API验证之后，我们需要知道云平台或服务对给定用户的授权情况。配额云平台/服务为用户帐户使用的资源强加限额。最好先了解配额限制。...了解某些提供程序和平台设置的API速率限制（用户在一段时间内可以对API端点进行的API请求数），因为它显示了我们可以多频繁地调用端点。

3.4K6 0

使用Spring Boot设计和实现REST API

REST端点用于集成应用程序或服务器端向客户端提供服务。在本文中，将介绍基于CRUD的SpringBoot来设计和实现REST端点。...HTTP提供了各种可用于简化端点的方法。HTTP提供了一些标准方法，如GET，PUT，POST或OPTIONS等。...所有这些方法都有助于设计简单的REST端点，因为这是标准的，所以每个人都可以理解它们。 GET GET方法用于访问资源。要根据ID获取客户记录，我们可以使用/ customers / {id}等端点。...当客户端请求无效或不存在的“id”时，我们可以使用标准HTTP响应代码，而不是使用自定义正文或错误消息进行响应。HTTP响应代码是REST中用于通知处理状态的标准方式。...409 - 冲突：如果新客户的ID已经存在于数据存储中，那么它就是冲突请求。 201 - 创建：所有验证都成功，数据将插入到存储中。 PUT 此方法允许用户更新现有数据记录。

1.8K3 0

原 REST - Representati

REST基于唯一URI标识的资源。只要服务遵从定义的标准或特性，我们可以将这个服务称为 rest。REST 并不与任何特定的平台联系在一起, 当前在Web上使用 HTTP 完成的。...分层系统代理服务器或缓存服务器等中间服务器可用于提高性能或引入安全性。统一接口统一的接口 (如 HTTP HTTP GET, POST, DELETE, PUT) 用于访问资源。...这里是列表文本类型为HttpTransportSecurity的WebHttpBinding.Security.Transport有助于对客户端进行身份验证。...例如, 当客户端试图将数据插入或更新到 sql server 数据库中时, 如果客户端没有权限, sql server 将引发异常, 这可能会冒泡回客户端。...2.基于角色: 通过限制对某些 Windows 用户或组的操作的访问来实现授权。优点与其他风格的服务相比,REST 风格提供的服务更易于使用, 这意味着消费者的学习曲线更低。

1.2K7 0

云开发API连接器的最佳练习

根据表1中的数据，这一点非常明显。 API认证每个云平台都使用不同类型的认证机制来访问API，了解这些认证机制很重要。...最好通过管理门户或面板来执行操作，以便在开始使用API之前了解它的工作原理。您需要做的第一件事是使用API进行身份验证，然后您可以在执行创建选项之前尝试基本的读取操作。...可以通过使用POSTMAN，RESTClient等工具验证平台或服务的API端点进行访问。对于基于标记的身份验证，我们需要生成令牌并在RESTClient中提供令牌。...API授权在API验证之后，我们需要知道云平台或服务中给定用户的授权。...了解某些提供程序和平台设置的API速率限制（由用户在一段时间内可以对API端点进行的API请求数），因为它显示了我们可以怎样频繁地调用端点。

4.6K8 0

REST API和GraphQL API的比较

该数据可用于GET、PUT、POST和DELETE数据类型，指的是对资源的读取、更新、创建和删除操作。...在典型的 REST 场景中，请求/响应如下所示： // HTTP REQUEST GET api/students/1 || api/students?...动图 )在 GraphQL 和 REST 之间进行选择时要考虑的事项安全 REST API 使用 HTTP，允许使用传输层安全性进行加密，并提供多种 API 身份验证选项。...由于请求需要时间才能到达正确的数据并提供相关信息，因此开发人员必须进行多次调用。缓存 REST API 的所有 GET 端点都可以缓存在服务器上或通过 CDN。...错误处理每个 GraphQL 请求、成功或错误都会返回 200 状态代码。与 REST API 相比，这是一个明显的区别，在 REST API 中，每个状态代码都指向某种类型的响应。

5621 0

⚡REST 和 SOAP 协议有什么区别？

示例操作包括创建、更新、查询或删除资源（分别为 POST、PUT、GET 和 DEL）。## **REST API 的优点**### 前后端分离前后端分离具有以下优点：* **所有组件的可迁移性。...例如，在 REST API 中，通常只需一个 URL 端点，通过发送 POST 或 PUT 请求即可完成资源的创建或更新。而在 SOAP 中，创建或更新数据对象需要分别调用处理这些特定操作的独立函数。...### REST 剖析REST API 由以下部分组成：* **请求方法：** 希望对资源执行的 CRUD 操作。在本例中，HTTP 方法 POST 表示希望创建某个内容。...* 请求方法（CRUD 操作）： * REST - 在请求中提供 GET 方法，告诉应用程序接口检索某些内容。 * SOAP - 请求中不提供方法。...虽然 REST 在某些方面已经取代了 SOAP 在公共网络服务中的地位，但 SOAP 在安全敏感的场景中，如企业级应用和金融服务中，仍然有着很高的采用率。

1510 0

从API源码看API经济 | 从开发角度看应用架构13

RESTful Web可以对每个端点进行注释，以确定接收数据的格式和返回给客户端的数据格式。此外，RESTful Web服务不需要使用WSDL或类似于使用JAX-WS服务时所需的任何内容。...以下是方法列表： GET：GET方法检索数据。 POST：POST方法创建一个新实体。 DELETE：DELETE方法删除实体。...将@GET注释添加到getAllPersons（）方法以将该方法公开为REST端点： ?...配置完毕后，达到的效果是：对http://localhost:8080/hello-rest/api/persons/now的GET请求返回数据库中所有Person对象的JSON表示。...实现的效果是：对http:// localhost8080 / hello-rest / api / persons /的POST请求现在将该人员保存到数据库中。

1.6K2 0

4种主流的API架构风格对比

RPC 使用 GET 来获取信息，使用 POST 来处理其他所有操作。服务端和客户端之间交互的机制归结为调用端点并获得响应。易于添加新函数。...在 RPC 中，无法对 API 进行检验总结，或者发送请求来开始理解根据需求应该调用哪个函数。函数爆炸性增长。创建新函数非常容易。...当服务端实现 REST 的某些功能和 RPC 的某些功能时，在 REST 和 RPC 之间确实可能存在这样一个灰色区域。但 REST 是基于资源或名词的，而不是基于动作或动词。...（以动词为中心的 RPC 模型和以名词为中心的 REST 模型中的操作对比）在 REST 中，使用例如 GET、POST、PUT、DELETE、OPTIONS 可能还有 PATCH 等 HTTP 方法来完成操作...因为在客户端进行查询之前已经定义好了模式，所以客户端可以验证其查询语句，以确保服务端能够对查询语句进行响应。

2.3K3 0

API 安全测试的 31 个 Tips

现代框架鼓励开发人员在不了解安全性影响的情况下使用批量赋值。在使用过程中，不要猜测对象的属性名，只需找到一个返回所有属性的GET端点。...有时身份验证是在REST和SOAP API之间共享的不同组件中完成的== SOAP API可能支持JWT TIP9 试图找到BOLA(Broken Object Level Authorization)...如果您在生产环境中进行测试，那么很有可能AuthN端点具有抗暴力破解保护。无论如何，DevOps工程师倾向于在非生产环境中禁用速率限制。...id=&id= Send wildcard {"user_id":"*"} 在某些情况下，AuthZ机制需要一个普通字符串(在本例中是一个ID)，如果它接收到一个JSON，...始终对API响应保持好奇。 TIP30 在API测试期间卡住了?扩大你的攻击面!如果API有移动客户端，请下载APK文件的旧版本，以探索旧/遗留的功能，并发现新的API端点。

1.7K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭