¿Cuál es la mejor manera de hacer una API RPC pública?

Aquí hay algunos principios de diseño para considerar …

Integridad de los datos
Esto es especialmente importante si luego decide agregar un mecanismo de autenticación. Pero, en general, esta debería ser la primera consideración dada a exponer cualquier cosa públicamente en la web. Las API RESTful lo respaldan al asegurar el socket TCP / IP con Secure Sockets Layer (SSL); sin embargo, SSL se puede aplicar a casi cualquier servicio que use TCP como transporte.

Autenticación
Este es un detalle desafiante cuando se trata de una API RPC. Con HTTP, podemos suponer que cada solicitud individual no tiene ningún estado y, por lo tanto, retransmitir los detalles de autenticación con cada solicitud. Obviamente, esto tiene algunos problemas de velocidad. A pesar de que las solicitudes HTTP tienen la capacidad de compartir una sola conexión (y proporcionar algún estado), no se recomienda confiar en esto.

En cambio, un enfoque que podría funcionar aquí es establecer una abstracción en la capa de transporte que proporcione algunos detalles de autenticación para la implementación de sus RPC. Para un transporte HTTP, esto podría implicar pasar los encabezados de autenticación básicos con cada invocación; mientras que para una implementación directamente a través de un socket, podríamos tener un proceso especial de negociación / apretón de manos al comienzo de nuestra sesión.

En última instancia, trate de evitar que la implementación de RPC conozca demasiados detalles sobre el transporte. Si está solicitando encabezados HTTP, de repente tiene que hacer mucha lógica tonta en su implementación de RPC para admitir otros tipos de transportes.

Estrangulamiento
Esto puede no ser un problema para todos los servicios, pero tener la capacidad de limitar automáticamente las solicitudes por IP o usuario es muy valioso. Esto podría ser muy básico, como registrar el número de llamadas RPC realizadas desde una IP o Usuario dado, a algo más complejo y por método.

Related Content

¿Por qué iOS no se infecta con virus a pesar de no tener un software antivirus? Como soy de un entorno no matemático, ¿alguien puede explicarme detalladamente?

¿Cuáles son las mejores opciones de hardware y software para rastrear mi computadora portátil en caso de pérdida o robo?

¿Por qué es importante la seguridad de la red?

Cómo eliminar virus en mi computadora portátil

¿Puede un archivo cifrado AES-256 de un programa de cifrado ser descifrado por cualquier otro programa de descifrado compatible con AES-256?

More Interesting

¿Puedo ser hackeado haciendo clic en un enlace malicioso? ¿Qué puedo hacer para protegerme si hago clic en un enlace malicioso?

¿El hacktivismo es sombrero negro, blanco o gris?

¿Cuál es la aplicación de comunicación más segura / privada?

¿Alguien está desarrollando una tecnología que pueda decirle si su nombre de usuario o contraseña son incorrectos?

¿Qué tipo de proyecto puedo hacer en el campo de la seguridad informática para mi último año de BTech (informática)?

¿Cómo puedo ser completamente anónimo e imposible de rastrear en Internet?

¿Cómo ha evolucionado la industria antivirus desde los días del mercado predominantemente de PC? ¿Seguirán desempeñando un papel vital en la era de IoT?

¿Por qué se llama relleno de credenciales de esta manera?

¿Para qué se utiliza el cifrado de datos en bases de datos?

¿Cuáles son las ventajas de la criptografía de curva elíptica usando campos binarios sobre campos primos y viceversa?

¿Cuáles son las cosas más importantes que el propietario de una pequeña empresa necesita saber sobre seguridad cibernética?

¿Es una computadora con seguridad de Internet Kaspersky más segura que cualquier Linux?

Al elegir una contraseña, ¿es una buena práctica repetir una contraseña de 6 u 8 dígitos para que sea el doble y, por lo tanto, más difícil de descifrar?

¿Cuál es el antivirus gratuito y cómo puedo instalarlo en la PC?

¿Cómo es el antivirus Kaspersky mejor que los demás?