对于API响应消息应该有多具体有什么想法?我是从与验证数据类型相关的安全角度来看待这一问题的。
假设我的API需要string作为id,并且我的服务器验证该类型——如果不是string,我是否应该用…之类的内容响应。。"字段的类型必须是字符串?"。这对那些浏览过文档的用户来说很方便,因为这将是对他们的客户端代码的简单修复,但黑客呢?
他们可以通过这些响应来获取信息,以了解更多关于API输入的信息。也就是说,他们可以输入任何随机数据,然后发现API只需要字符串,这可以进一步帮助他们。
对此有什么想法吗?
隐藏东西从来都不是提供安全性的好方法。
您应该提供尽可能多的关于错误的详细信息,这样您就可以帮助人们使用您的API。您的实现应该进行所有必要的检查,以确保输入数据是安全的。
唯一特别的一点是:不要抛出类似"数据库中不存在电子邮件"的错误,因为它会泄露有关您的数据的信息。