■ このスレッドは過去ログ倉庫に格納されています
プログラマー来てくれ!
- 1 :風吹けば名無し:2022/11/18(金) 14:13:35.92 ID:H3CL6VBC0.net
- APIって普通にやってたら保護されるもんなの???
- 2 :風吹けば名無し:2022/11/18(金) 14:15:24.31 ID:H3CL6VBC0.net
- 例えば多くのアプリでアプリ名/API名でAPIと連携しとるけどこのAPI名がバレたら色んなところからAPI接続されるもんなの?
- 3 :風吹けば名無し:2022/11/18(金) 14:16:05.45 ID:H3CL6VBC0.net
- 例えばこれなんだけどAPIコントロール名複雑にしとったほうがええんか?
https://i.imgur.com/tAFdI7I.png
- 4 :風吹けば名無し:2022/11/18(金) 14:17:32.64 ID:piR0aPoK0.net
- 何を言いたいのかが分からん
- 5 :風吹けば名無し:2022/11/18(金) 14:18:44.41 ID:oNO/umpzd.net
- apiの意味わかってるか?
- 6 :風吹けば名無し:2022/11/18(金) 14:18:58.93 ID:n01qha6OM.net
- 当然対策してなければ許可してないところからapiにアクセスされるやろ
- 7 :風吹けば名無し:2022/11/18(金) 14:19:08.62 ID:F3AWyeVK0.net
- マイナンバーがバレたら口座残高が全部筒抜けみたいなレベルのガイジ理論や
- 8 :風吹けば名無し:2022/11/18(金) 14:19:35.59 ID:H3CL6VBC0.net
- >>4
だからブラウザ側はAPIキーと変数とか投げるやん?
そんでサーバー側のAPIコントローラーとかで受けるわけやけどこのサーバー側で受け取るAPI名(例えばここでは"Article")が投げられたらそれを処理されてしまうってことやろ?
- 9 :風吹けば名無し:2022/11/18(金) 14:19:49.42 ID:XWK95zkf0.net
- C#ガイジはこんなレベルでイキっとるんか
- 10 :風吹けば名無し:2022/11/18(金) 14:19:49.45 ID:H3CL6VBC0.net
- >>5
なんだよ
おしえろよ
- 11 :風吹けば名無し:2022/11/18(金) 14:20:57.05 ID:H3CL6VBC0.net
- >>6
対策といえば例えば?
- 12 :風吹けば名無し:2022/11/18(金) 14:21:13.20 ID:n01qha6OM.net
- こいつC#ガイジかよ
レベル低すぎやろ
- 13 :風吹けば名無し:2022/11/18(金) 14:22:42.21 ID:CMrv+1Nqp.net
- まずお前の立場がわからん
apiを作成してるサーバー側なのか
apiを利用するクライアント側7日
- 14 :風吹けば名無し:2022/11/18(金) 14:22:55.23 ID:H3CL6VBC0.net
- >>7
ほんで実際どうなん?
ここでいうと
アプリ名.ArticleのGetAsyncを動作させたらこのサーバーのGetメソッドが動くんか?
- 15 :風吹けば名無し:2022/11/18(金) 14:23:19.85 ID:H3CL6VBC0.net
- >>13
フルスタックエンジニアって知っとる??
- 16 :風吹けば名無し:2022/11/18(金) 14:23:21.37 ID:HzEoMOk40.net
- 非公開にするんならPublicやめてPrivateにしたらどうや?
- 17 :風吹けば名無し:2022/11/18(金) 14:24:51.45 ID:H3CL6VBC0.net
- >>16
publicクラスじゃなくてprivateクラスってことか?
そしたらちゃんと実装してるアプリ側からサーバーにAPI呼び出されんのちゃうか?
- 18 :風吹けば名無し:2022/11/18(金) 14:25:05.78 ID:H3CL6VBC0.net
- >>12
ほんで?
教えろよ
- 19 :風吹けば名無し:2022/11/18(金) 14:25:27.85 ID:H3CL6VBC0.net
- >>9
お前もそんなレベルでイキっとるやん?
- 20 :風吹けば名無し:2022/11/18(金) 14:25:41.50 ID:F3AWyeVK0.net
- >>14
小泉進次郎「非公開にしたいAPIは公開するべきではない」
- 21 :風吹けば名無し:2022/11/18(金) 14:25:50.19 ID:eoyPyNz00.net
- >>11
オーソドックスなんはアクセストークン用意するとか
- 22 :風吹けば名無し:2022/11/18(金) 14:26:29.24 ID:piR0aPoK0.net
- 何がしたいか良く分からんけど
呼び出し元を限定したら良いだけなんじゃない?
- 23 :風吹けば名無し:2022/11/18(金) 14:27:01.26 ID:H3CL6VBC0.net
- ASP.NETのAPIController機能使ってたから大丈夫だろうとは思ったんやけど
あれ?実際どうなんだ?ってふと思った次第やね
- 24 :風吹けば名無し:2022/11/18(金) 14:27:04.38 ID:HzEoMOk40.net
- >>17
Privateにしたら直接参照できなくなるだけや
Public関数がPrivate関数の呼び出しはできるが
そういうことを聞いてるのか?
- 25 :風吹けば名無し:2022/11/18(金) 14:27:10.57 ID:XWK95zkf0.net
- >>19
なんでもええけど普通は社内の先輩とかに聞くよね?相手してもらえないんか?
- 26 :風吹けば名無し:2022/11/18(金) 14:27:16.75 ID:uQQcBSgh0.net
- privateでreadonlyて3行下で何も文句言われんの?
- 27 :風吹けば名無し:2022/11/18(金) 14:27:17.16 ID:H3CL6VBC0.net
- >>20
というと?
- 28 :風吹けば名無し:2022/11/18(金) 14:27:27.37 ID:N7zGTYjqr.net
- C♯出来るとかイッチすご過ぎんかワイはCすら良く分からなくて算数しか書けんわ
- 29 :風吹けば名無し:2022/11/18(金) 14:27:34.54 ID:wI2N+FgD0.net
- バカじゃねえの接続制限せんのかな
- 30 :風吹けば名無し:2022/11/18(金) 14:27:43.15 ID:H3CL6VBC0.net
- >>25
いや趣味でやっとるから聞いとるんやが
- 31 :風吹けば名無し:2022/11/18(金) 14:28:14.21 ID:eoyPyNz00.net
- >>22
api自体に影響なくてお手軽なんはこれやなろな
- 32 :風吹けば名無し:2022/11/18(金) 14:28:16.20 ID:qF8FJOodM.net
- そういうのを保護するためにapi-keyとかがあるんじゃん
- 33 :風吹けば名無し:2022/11/18(金) 14:28:37.92 ID:F3AWyeVK0.net
- >>27
玄関の入り口をわかりにくい場所に設置する事は鍵の代わりにはならない
- 34 :風吹けば名無し:2022/11/18(金) 14:29:03.98 ID:H3CL6VBC0.net
- >>21
ふむふむアクセストークンって聞いたことあるわ
Wikiサイトとか作るときって誰もが書き込めるってのがコンセプトやからアカウントとか作らんやん?
その時アクセストークンってどうやって用意するもんなの?
- 35 :風吹けば名無し:2022/11/18(金) 14:29:23.66 ID:H3CL6VBC0.net
- >>22
どうやるん?
- 36 :風吹けば名無し:2022/11/18(金) 14:29:45.27 ID:H3CL6VBC0.net
- >>24
そういう関数があるってこと?
- 37 :風吹けば名無し:2022/11/18(金) 14:30:15.74 ID:TmVRzIZvM.net
- なんJでイキってるやつが知らない内容ではないよな
こいつガチのガイジやろ
- 38 :風吹けば名無し:2022/11/18(金) 14:30:17.36 ID:H3CL6VBC0.net
- >>26
言われんな
これはインターフェイスや
- 39 :風吹けば名無し:2022/11/18(金) 14:30:24.08 ID:uQQcBSgh0.net
- 使用可能なサービスをカプセル化しとるだけやろ
何の心配しとるんかようわからんわ
- 40 :風吹けば名無し:2022/11/18(金) 14:30:26.30 ID:H3CL6VBC0.net
- >>28
えへへ
- 41 :風吹けば名無し:2022/11/18(金) 14:30:35.60 ID:H3CL6VBC0.net
- >>29
どうやんの?
- 42 :風吹けば名無し:2022/11/18(金) 14:30:58.83 ID:H3CL6VBC0.net
- >>32
それがいわゆるAPIコントローラー名やろ?
- 43 :風吹けば名無し:2022/11/18(金) 14:31:01.48 ID:aqwhsf/+d.net
- フレームワークしか覚えんで低レベル分からんとこういう認識になるんやな
- 44 :風吹けば名無し:2022/11/18(金) 14:31:26.21 ID:eoyPyNz00.net
- >>34
君のやりたいことって、APIを呼び出せるのは自分で自作したアプリだけで、外部(curlとか)では呼び出せないようにしたいってことか?
- 45 :風吹けば名無し:2022/11/18(金) 14:31:33.71 ID:H3CL6VBC0.net
- >>37
そんで君は知っとるん?
知らんやろどうせ
- 46 :風吹けば名無し:2022/11/18(金) 14:31:53.84 ID:HzEoMOk40.net
- >>36
そもそもPublicとPrivateの違いは知っとるか?
- 47 :風吹けば名無し:2022/11/18(金) 14:32:02.77 ID:H3CL6VBC0.net
- >>39
じゃあこの方法でAPI接続する場合は何も問題ないんか?
- 48 :風吹けば名無し:2022/11/18(金) 14:32:27.33 ID:eoyPyNz00.net
- >>35
apiサーバの設定で接続可能なipを制限する
- 49 :風吹けば名無し:2022/11/18(金) 14:32:36.74 ID:H3CL6VBC0.net
- >>46
いやクラスのprivate,publicはわかるよ
普通に今までC#使ってきとるし
- 50 :風吹けば名無し:2022/11/18(金) 14:33:01.18 ID:H3CL6VBC0.net
- >>43
じゃあ教えて
- 51 :風吹けば名無し:2022/11/18(金) 14:33:10.49 ID:H3CL6VBC0.net
- >>44
そう!
- 52 :風吹けば名無し:2022/11/18(金) 14:33:35.05 ID:TmVRzIZvM.net
- >>45
知らんのガチでこの中ならお前だけやろ
アクセストークンがどういうものかまず知ってるんか?
- 53 :風吹けば名無し:2022/11/18(金) 14:34:25.37 ID:H3CL6VBC0.net
- >>48
APIサーバー立ててないんよね
ASP.NETの便利機能でAPIControllerを作っただけや
その後インターフェースを作ってそのインターフェースにそってGetやPostを使っとるって感じや
- 54 :風吹けば名無し:2022/11/18(金) 14:34:29.94 ID:aqwhsf/+d.net
- >>50
リファレンス読めばなんか書いてあるだろう
corsとかセッションとか
- 55 :風吹けば名無し:2022/11/18(金) 14:34:50.20 ID:H3CL6VBC0.net
- >>52
知らん
そのアクセストークンはどうやって出せばええんや?
- 56 :風吹けば名無し:2022/11/18(金) 14:35:02.92 ID:H3CL6VBC0.net
- >>54
知らんのかいな…
- 57 :風吹けば名無し:2022/11/18(金) 14:35:06.12 ID:LoGchYled.net
- 天才ハカーのワイに任せろ👨🏽💻👨🏾💻👨🏿💻
- 58 :風吹けば名無し:2022/11/18(金) 14:35:15.98 ID:H3CL6VBC0.net
- >>57
教えてちょ
- 59 :風吹けば名無し:2022/11/18(金) 14:35:22.63 ID:JTre8teQ0.net
- そもそもなんでC#なん?
- 60 :風吹けば名無し:2022/11/18(金) 14:35:56.69 ID:TmVRzIZvM.net
- >>55
例えばアカウント毎にサーバーからアクセストークン発行するとか
- 61 :風吹けば名無し:2022/11/18(金) 14:36:19.85 ID:H3CL6VBC0.net
- >>59
C#が好きやからやな
APIコントローラーもめっちゃ簡単に作れる
上に上げとる画像のように書けば簡単に作れるで
- 62 :風吹けば名無し:2022/11/18(金) 14:37:19.87 ID:H3CL6VBC0.net
- >>60
それはアカウント作る場合やろ?
ワイのはウィキアプリやからアカウント作りたくない
そのクライアントアプリのみアクセストークン作るとかできるん?
- 63 :風吹けば名無し:2022/11/18(金) 14:37:33.24 ID:eoyPyNz00.net
- >>51
ああなるほど
であればアクセストークンとか面倒なことは考えなくてもええで
いろいろやり方はあるけど
API側とアプリ側で秘密のkeyを持たせる
APIサーバでアプリサーバのIP以外は弾く
とか
- 64 :風吹けば名無し:2022/11/18(金) 14:38:09.98 ID:H3CL6VBC0.net
- >>63
どうやんの?
APIコントローラーのところにどう書けばええんや?
- 65 :風吹けば名無し:2022/11/18(金) 14:38:14.29 ID:qF8FJOodM.net
- >>42
違うやろ
apiコントローラーのコントローラーってmvcのcとかの意味合いやないんか
ブラウザでやるならベーシック認証でやれアプリなら難読化しろ
そしてcookieでセッション管理しろ
- 66 :風吹けば名無し:2022/11/18(金) 14:39:17.85 ID:H3CL6VBC0.net
- >>65
ベーシック認証ってどうやるんや?
原理教えてくれ
- 67 :風吹けば名無し:2022/11/18(金) 14:40:27.71 ID:H3CL6VBC0.net
- とりあえずこのコントローラーのファイルアップロードするから少しまっとれ
- 68 :風吹けば名無し:2022/11/18(金) 14:40:31.19 ID:QUUHt33U0.net
- 匿名掲示板でハッカーぶってる奴ってやっぱこのレベルだよな
- 69 :風吹けば名無し:2022/11/18(金) 14:41:57.26 ID:qF8FJOodM.net
- >>66
お前さんやばいやろ、ただの名前とパスやん調べたら沢山あるやろ
しょーもないサービスだろうしDBに適当に登録しとけばええんやない
- 70 :風吹けば名無し:2022/11/18(金) 14:42:50.63 ID:H3CL6VBC0.net
- GitHubにあげとったわ
APIコントローラー
https://github.com/MAUIHighSchool/MAUIWiki/blob/master/MAUIWiki/Server/Controllers/ArticleController.cs
ブラウザ側のAPI投げるやつ
https://github.com/MAUIHighSchool/MAUIWiki/blob/master/MAUIWiki/Client/Services/ArticleService.cs
- 71 :風吹けば名無し:2022/11/18(金) 14:43:31.01 ID:H3CL6VBC0.net
- >>68
ほんでどうするんや?
- 72 :風吹けば名無し:2022/11/18(金) 14:43:55.14 ID:TmVRzIZvM.net
- >>62
アカウント作りたくないなら突き詰めれば完全な対策は無理やろ
それを分かった上で、ipで弾くとか荒らされてるページだけアカウント必須にするとか、暗号化とか難読化で頑張るしか
- 73 :風吹けば名無し:2022/11/18(金) 14:44:04.96 ID:H3CL6VBC0.net
- >>69
しゃーない調べるか
- 74 :風吹けば名無し:2022/11/18(金) 14:45:02.51 ID:H3CL6VBC0.net
- >>72
う~ん…
難しいんか…
まぁしゃーないか
- 75 :風吹けば名無し:2022/11/18(金) 14:45:21.96 ID:g71KI4RP0.net
- OAuth認証実装するしか
特定のリソースからしかアクセスされないならCORSでええんちゃう
総レス数 75
17 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★