Решил сделать подложку для видосов, с кусками кода из примеров, которые я делал для канала.
Вот такая штука получилась.

Решил попробовать отвечать на вопросы в nowapp, не уверен, что это правильно, но попытка - не пытка.

Коротко: первая часть книги содержит довольно много воды, ближе к середине начинается "мясо". Примеры на Java лично мне сильно раздражали, они не раскрывают сути рассматриваемых понятий, а рассматривают процесс установки тех или иных компонент, т.е. не для Java разрабов - потеря времени.

В книге нет глубокой теории, но есть довольно понятное объяснение основных приципов проектирования API и способы организации безопасного взаимодействия. Рассмотрены понятие авторизации и аутентификации, поверхностно про DAC и MAC (кроме разъяснения терминов ничего дельного).

Основные ключевые слова, значение и принципы работы которых вы поймете из книги: OAuth, OpenID, JWT, JWS, JWE.

Так же есть небольшой раздел с шаблонами взаимодействия с API. Там показаны схемы и объясняется логика работы.

В общем, книга на 5 из 10, вроде и не совсем треш, но глубины не хватает, а практические акценты на Java только отвлекают от сути.
#книга #отзыв

У нас тут в комментах пошел вопрос о том как защитить API от левого подключения, при условии что API в анонимном доступе. Вопрос сложный, так как любая защита доступа строится на "секрете", а у анонимного доступа есть проблемы с созданием и передачей секретов.

Из практики могу посоветовать сделать такую штуку как "сценарии угроз", где пропишите от чего вы хотите защищать приложение и как.
Например:
- защита от парсинга/скачивания данных
- api квоты (ограничение на IP)
- токен авторизации
- обфускация
- защита от воровства токена
- хэширование или контрольные суммы
- защита от роботов
- ...
- защита от накрутки
- ...
- защита от DDOS
- ...

Когда конкретно будут понятны "угрозы" тогда и методы защиты станут более понятным.

Если есть какие-то угрозы, которые непонятно как "закрыть" то это тоже хорошо, потому что знать слабые места - важно.