Я новичок в REST API и разрабатываю API, который будет использоваться для iOS/Android/веб-приложений, но я не знаком с угрозами, с которыми API сталкиваются после публикации. Я везде вижу одни и те же советы:
- Используйте oAuth 2 для разрешения транзакций,
- Получение и отправка только зашифрованных веб-токенов JSON,
- Используйте SSL/TTL.
Я думаю, что использование SSL/TLS и JWT должно быть достаточно безопасным для отправки/получения данных, но даже при этом я опасаюсь возможности внедрения SQL, если кто-то украл учетные данные.
Должен ли я проверять запросы на строки SQL-инъекций (такие как этот )? И если я собираюсь поддерживать вход пользователя в систему, имеет ли смысл использовать oAuth вместо JWT?