EntrarRegistrarse

Errores de seguridad que he cometido (y veo cometer) en APIs REST

por Sergio Diaz Delgado··132 votos

Sin nombres ni empresas, pero esto paso de verdad:

  1. Exponer IDs secuenciales (permite enumerar recursos). Usa UUIDs o cuid.
  2. No validar que el usuario autenticado puede acceder al recurso que pide (authorization != authentication)
  3. Logs con datos sensibles (emails, tokens)
  4. No poner rate limiting en endpoints de auth
  5. .env en el repositorio (si, sigue pasando)

Ninguno de estos requiere conocimiento avanzado de seguridad. Son higiene basica.