Auf eigene Daten mit einer API zugreifen, ist das sicher?

Hallo,

folgendes Szenario: hab mit Dart eine kleine App entwickelt und möchte mit dieser App mittels einer API auf Daten zugreifen, die auf einer Datenbank liegen. Wenn ich aber nun die Daten mit JSON auf einer Website abbilde, dann kann da doch theoretisch jeder darauf zugreifen, oder? und ein API Key ist ja auch einfach ein durch Zufall generierter String, d.h. jeder der diesen String kennt, könnte auf die Daten zugreifen, oder? Kennt jemand bessere Möglichkeiten, damit kein anderer auf diese Daten gelangt?

Danke im Voraus.

Gruß

3 Antworten

FaTech

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, programmieren

11.05.2022, 19:34

Nicht irgendeinen String nehmen, sondern einen ganz langen string mit groß, klein Buchstaben, wie auch zahlen und Sonderzeichen. Wie ein Passwort. Dann ist das knacken schwerer. Ein Passwort Login, wie man es auf Websites hat läuft auch meist nur so und Websites generieren auch meist nur tokens, die man klauen kann. Du kannst natürlich IP Logging und abgleich und andere Dinge noch verbauen, wenn du es noch sicherer haben willst

Functional

11.05.2022, 19:39

Das kommt darauf an, was das für Daten sind. Du solltest über die API logischerweise nur die Daten senden, die der jeweilige Anfrager auch sehen darf. Daher arbeitet man normalerweise nicht mit einem globalen API Key, der für jeden Anfrager und jede Anfrage gleich ist, weil dann eben jeder mit diesem Schlüssel Zugriff auf alles hat.

Statt dessen wird mindestens für jeden Nutzer ein eigener API Key generiert, mit welchem er sich dann authentifiziert. Greift ein Nutzer dann auf Daten zu, die er nicht sehen darf, kann der Server die Anfrage entsprechend abweisen.

Noch besser ist die Verwendung von JWT Tokens, denen man u.a. ein Ablaufdatum zuweisen kann.

Woher ich das weiß:Berufserfahrung – Inhaber einer App-Agentur & 15+ Jahre Programmiererfahrung

elmex7

11.05.2022, 21:59

Was spricht dagegen bei selbst generierten Api Request den key an den Referer zu binden? Ist zwar jetzt nicht wirklich sicher, aber verhindert zumindest ein einfaches einbinden woanders.

Ansonsten halt Oauth und Co, wie alle anderen auch!

Ähnliche Fragen

Rest API - PHP?

Hey, ich habe eine locale MySQL Datenbank, nun möchte ich diese an meine App anbinden. Dazu ist es sinnvoll eine Rest API zu entwickeln. Ich habe es mit folgender Anleitung versucht:

https://code.tutsplus.com/tutorials/how-to-build-a-simple-rest-api-in-php--cms-37000

Jedoch funktioniert es nicht. Also ich kann die API im Browser und mit Postman abrufen. Aber in meiner App kann ich trotz richtiger Anbindung keine Daten ausgeben.

Hat jemand eine Idee woran es liegen kann?

Danke schonmal für die Hilfe!

...zur Frage

Flutter Datenbankanbindung?

Hey, ich habe eine MySQL Datenbank und möchte diese nun mit meiner Flutter App verbinden, sodass ich dann in einer ListView Daten ausgeben kann.

Bisher hab ich im Internet etwas über Firebase bzw. MySQL Lite gelesen, aber das ist ja nicht das richtige, da ich ja eine MySQL Datenbank habe.

Wie kann ich nun meine App mit der MySQL Datenbank verbinden und anschließend Daten abfragen und ausgeben?

...zur Frage

Wie kann ich eine JSON-Datei lesen und anzeigen lassen?

Ich habe eine API und wollte diese nun mit JavaScript benutzen. Ich möchte also aus der API die Daten lesen und Variablen auf den Wert setzen.

Z.B.

JSON

germany {
  TotalInfected: 1234567890
  TotalDeaths: 1234567890
}
switzerland {
  TotalInfected: -1234567890
  TotalDeaths: -1234567890
}

Und jetzt möchte ich die JSON lesen und anzeigen. Also z.B. den ganzen Inhalt in beispielsweise einem div-Element.

<a>Corona daten:</a>
<div class="jsoncontent">(Und dann hier die ganze Datei bzw. den Inhalt)</div>

Danke fürs Helfen.

...zur Frage

Auf Datenbank mit Python zugreifen?

Wie kann man mit Python einfach auf die eigene Datenbank zugreifen?

Also nicht SQL Code ausführen sondern mit einer API direkt drauf zugreifen.

...zur Frage

Zugriff auf die Supabase Auth Userdatenbank mit Laravel möglich?

Guten Tag,

ein Freund von mir arbeitet aktuell an einem P2P Marktplatz mit Laravel, während ich mich an einer dazugehörigen Flutter App probiere. Mir sprang dabei der Backend Service Supabase ins Auge, da dieser mir relativen Datenbanken arbeitet und er diese mithilfe von Laravel anzapfen kann. Nun habe ich gesehen, dass Supabase eine eigene Datenbank für die User führt, welche abgeschottet zu scheinen scheint. Für diese gäbe es super einfache Authentifizierungsfunktionen, allerdings weiß ich nicht, ob er diese mithilfe von Laravel auslesen bzw. beschreiben kann.

Meine Frage ist daher: Ist es möglich mit Laravel Zugrifg auf diese spezielle auth.user Datenbank zu bekommen oder sollte ich mit einer Public DB arbeiten und versuchen, das Authentifizierungssystem selbst in die Hand zu nehmen? Was wären sonst optimale Ansätze für eine API zwischen der Flutter App und der bereits bestehenden Laravel Webseite?

Wir sind beide noch sehr frisch im Thema und deswegen noch ein wenig unbeholfen.

Danke im Voraus! :)

...zur Frage

Pandabuy API?

Hi,

ich will eine Webseite machen, die wie ein Pandabuy Spreesheat ist und möchte versuchen die webseite automatisch etwas u füllen und die Preise aktuell halten. Dazu habe ich gefunden dass ich die API von Pandabuy erstmal brauche.

Deswegen wollte ich fragen wie genau das funktioniert dann nach der API und ob das überhaupt so möglich ist oder ich z.b. per JSON Datenbank alles manuell füttern muss.

Danke im Vorraus.

(ALso HTMl und Programmiererfahrung für webseiten habe ich)

...zur Frage

JavaScript Daten von API abfragen?

Ich habe ein JavaScript Script, in dem ich ganz am Anfang einer Variable die Daten von einem API Request zuweisen muss. Die Daten sollen also in der Variable gespeichert werden und dann der restliche Code ausgeführt werden. Ich möchte, dass die Zuweisung so aussieht:

let data = loadData() | {/*default json*/}

Die Daten müssen da sein bevor der restliche Code ausgeführt wird, da ich sie in einer funktion im onload teil brauche.

...zur Frage

Flutter Data from API?

Hey, will Daten von meiner erstellten API ausgeben in meiner App.

Code:

fetchData() async {
    final response = await http.get(Uri.parse('http://localhost/list.json'));
    return json.decode(response.body);
  }

FutureBuilder(
            future: fetchData(),
            builder: (BuildContext context, AsyncSnapshot snapshot){
              if(snapshot.hasError){
                return Center(
                  child:Text("Error"),
                );
              }
              if(snapshot.hasData){
                return ListView.builder(
                  itemCount: snapshot.data.length, 
                    itemBuilder: (BuildContext context, int index){
                  return Row(
                    children: [
                      Expanded(
                        child: Container(
                        child: Column(
                          children: [
                            Text(snapshot.data[index]['id']),
                            SizedBox(height: 10,),
                            Text(snapshot.data[index]['name']),
                            
                          ],
                        ),
                        ),
                      ),
                    ],
                  );
                });
              }
              return Center(child: CircularProgressIndicator(),);
            },
          ),

Jedoch bekomm ich als Ausgabe "Error". Woran kann das liegen? Die API kann ich mit Postmann abfragen.

...zur Frage

Fernsehserien API (Programmierschnittstelle)?

Woher bekommen Services wie "fernsehserien(dot)de", "serienjunkies(dot)de" oder "themoviedb(dot)org" ihre Daten über neue Serien? Machen die das alles selbst über "Web Scraping" oder gibt es irgendwo eine Programmierschnittstelle oder Datenbank bei der man neue, zukünftige Episoden abfragen kann?

Bei den bestehenden Webseiten im Internet kann man immer nur nach den zukünftigen Folgen einer einzigen Sendung filtern.

Ich hätte jedoch gerne eine Datenbank oder einen Service, bei dem ich alle Sendetermine der zukünftigen Episoden mehrerer ausgewählter Serien gleichzeitig suchen und nach Datum sortieren kann. Mit SQL-Abfragen oder Ähnlichem wäre so etwas mit passender Datenbank durchaus möglich.

Ziel wäre es, all seine Lieblingsserien eingeben zu können, und immer einen aktuellen Kalender aller neuen Sendetermine, aller neuen Folgen zu haben. Genau geht es mir hier um die Serien des öffentlich-rechtlichen Rundfunks (ARD - extra 3, ZDF - Die Anstalt, etc.)

...zur Frage

In welchem Format Daten für Graphen speichern?

Was ist die sinnvolste Methode und das sinvollste Dateiformat, wenn man die Daten von großen Graphen speichern will?

Json-, CSV-Datei, eine Datenbank oder etwas ganz anders?

...zur Frage

Daten von Rest API in Datenbank?

Hallo,

Gibt es irgendeine Möglichkeit die Daten einer rest api in die Datenbank zu speichern. Es sollte immer nach einer gewissen Zeit die Daten in der Datenbank aktualisieren da könnte ich mir vorstellen, dass dies mit einem Crontab geht.

Wenn möglich ein Codebeispiel

...zur Frage

Ebay Kleinanzeigen API?

Wir versuchen einen JSON GET Call in der Ebay Kleinanzeigen API zu machen. Jedoch ist uns unklar welche login daten wir unter http://api.ebay-kleinanzeigen.de/api/ eingeben mussen? Jemand Erfahrung mit dieser API?

...zur Frage

Postman - GET API?

Hallo, habe eine Frage und zwar ich habe eine API mit einem Array und noch paar andere Informationen (außerhalb des arrays). Nun möchte ich aber nur die Daten des Arrays mit Postman haben. Wie geht das:

https://localhost/api/index liefert die ganzen Daten

Habe es so schon probiert, dass ich das array wo ein bestimmter Name drinnen steht ausgibt, aber da bekomme ich dann ein HTML und kein JSON als Response.

https://localhost/api/index/:name

...zur Frage

Java Rest API Request?

Hallo zusammen,

ich versuche momentan mit Java JSON Daten von einer Rest API zu bekommen. Es handelt sich um eine Rest API an die ich ein GET Request senden möchte. Ich habe schon einiges Probiert aber es hat nichts geklappt. Wie kann man also mit Java die Daten einer solchen API abfragen? Ich nutze Intellij IDEA Community Edition und habe die API schon mit Postman ausprobiert, da geht es.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen