jenkins
Pregunta abierta: hay alguna forma de proteger un endpoint de un REST API, que obligatoriamente no puede tener autenticación?
Por ejemplo, un endpoint para crear un usuario, por decir cualquier cosa.
defina “proteger”
…
Bryan
Eeeh un token?
un token es autenticación
(quien tiene el token es quien dice ser)
jenkins
Ok, buena pregunta. Proteger en este caso:
- Evitar que personas fuera de un dominio puedan utilizarlo.
- Evitar que personas puedan vía script crear usuarios a lo loco.
Bryan
No lo deje descubierto jaja
jenkins
Descubierto?
Bryan
Que alguien sepa que existe jaja
jenkins
Bryan seguridad por ocultación no es seguridad. Y es un RESTful api, siempre se van a dar cuenta que existe.
Ver el network tab del browser.
@cjenkins mae un proxy donde haga bypass y aplique reglas sobre la aplicacion
algo como modsec de apache
??
o no le funca
modsec es un WAF, no?
sip
nginx tiene tambien y veo que la gente lo prefiere ultimamente
eso está cúl…
de hecho pude hasta montar algo que le cachee objetos en el medio para mejorar la experiencia si se mueven objetos por ahí
las reglas tengo la idea que se aplican con LUA
las IPs de quienes están autorizados a usar el API son conocidas?
porque eso se puede hacer a nivel de iptables
y le puede hacer magia a la vara, pero no estoy seguro de eso ultimo
jenkins
No, desgraciadamente, puede ser cualquier