Layanan Web RESTful - Keamanan
Karena Layanan Web RESTful bekerja dengan Jalur URL HTTP, sangat penting untuk menjaga Layanan Web RESTful dengan cara yang sama seperti situs web diamankan.
Berikut adalah praktik terbaik yang harus dipatuhi saat merancang Layanan Web RESTful -
Validation- Validasi semua input di server. Lindungi server Anda dari serangan injeksi SQL atau NoSQL.
Session Based Authentication - Gunakan otentikasi berbasis sesi untuk mengotentikasi pengguna setiap kali permintaan dibuat ke metode Layanan Web.
No Sensitive Data in the URL - Jangan pernah menggunakan nama pengguna, sandi, atau token sesi di URL, nilai-nilai ini harus diteruskan ke Layanan Web melalui metode POST.
Restriction on Method Execution- Izinkan penggunaan metode terbatas seperti metode GET, POST, dan DELETE. Metode GET seharusnya tidak dapat menghapus data.
Validate Malformed XML/JSON - Periksa masukan berbentuk baik yang diteruskan ke metode layanan web.
Throw generic Error Messages - Metode layanan web harus menggunakan pesan kesalahan HTTP seperti 403 untuk menunjukkan akses dilarang, dll.
Kode HTTP
Sr.No. | Kode & Deskripsi HTTP |
---|---|
1 |
200 OK - menunjukkan kesuksesan. |
2 |
201 CREATED- ketika sumber daya berhasil dibuat menggunakan permintaan POST atau PUT. Mengembalikan tautan ke sumber daya yang baru dibuat menggunakan tajuk lokasi. |
3 |
204 NO CONTENT- saat isi respons kosong. Misalnya, permintaan DELETE. |
4 |
304 NOT MODIFIED- digunakan untuk mengurangi penggunaan bandwidth jaringan dalam kasus permintaan GET bersyarat. Badan respons harus kosong. Header harus memiliki tanggal, lokasi, dll. |
5 |
400 BAD REQUEST- menyatakan bahwa input yang tidak valid disediakan. Misalnya, kesalahan validasi, data hilang. |
6 |
401 UNAUTHORIZED - menyatakan bahwa pengguna menggunakan token otentikasi yang tidak valid atau salah. |
7 |
403 FORBIDDEN- menyatakan bahwa pengguna tidak memiliki akses ke metode yang digunakan. Misalnya, Hapus akses tanpa hak admin. |
8 |
404 NOT FOUND - menyatakan bahwa metode tersebut tidak tersedia. |
9 |
409 CONFLICT- Menyatakan situasi konflik saat menjalankan metode. Misalnya, menambahkan entri duplikat. |
10 |
500 INTERNAL SERVER ERROR - menyatakan bahwa server telah mengeluarkan beberapa pengecualian saat menjalankan metode ini. |