Cách tốt nhất để triển khai xác thực cho API REST

Chúng tôi phát triển các ứng dụng dựa trên xã hội cho điện thoại di động. Mọi ứng dụng đều sử dụng các dịch vụ web RESTful API. Khi tôi thực hiện đăng nhập, tôi thường lưu tên người dùng và mật khẩu ở đâu đó trên thiết bị. Sau đó, tôi gửi cho họ và như một phản hồi tôi có quyền truy cập vào hồ sơ của tôi. Nhưng tôi cũng biết có một cách khác để làm điều này.

Người ta bằng cách nào đó tạo mã thông báo với một thuật toán cụ thể, sau đó gửi nó thay vì tên người dùng và mật khẩu để có quyền truy cập.

Tôi nên thực hiện điều đó như thế nào? Tôi có nên gửi mã thông báo này cùng với mọi yêu cầu khác ngoài đăng nhập không?

Có một số cách để triển khai xác thực trong ngữ cảnh RESTful và an toàn hơn khi chỉ gửi mã thông báo thay vì đăng nhập / mật khẩu: bạn có thể dễ dàng làm cho mã thông báo không hợp lệ khi hết thời gian hoặc theo một số tiêu chí khác và yêu cầu người dùng xác thực lại .

Ví dụ xác thực các yêu cầu REST bằng cách sử dụng HMAC . Trong phương pháp này, khách hàng sẽ có khóa công khai và bí mật . Đối với tất cả các yêu cầu yêu cầu xác thực , bạn nên thêm khóa publiс và sử dụng khóa bí mật để tính băm yêu cầu của bạn

var myRequest = "https://myserver/resource?publicId=12345&param=value";
var requestHash = hmac_implementation(myRequest);
myRequest = myRequest + '&hmac=' + requestHash;

Bây giờ máy chủ có thể xác định yêu cầu bằng khóa chung và tự tính toán requestHash . Nếu cả hai giá trị băm đều bằng nhau, thì người dùng được ủy quyền.

Btw, bạn cũng phải sử dụng https để bảo mật liên lạc qua mạng máy tính - điều này sẽ giúp giảm thiểu các vấn đề có thể xảy ra.

oAuth là tiêu chuẩn cho việc này nhưng có nhiều giải pháp hơn.

Đừng cố gắng tự mình thực hiện bảo mật, mã thông báo, v.v. vì đó là một chủ đề khó khăn và rủi ro. Lấy ví dụ một cái nhìn ở đây:

/programming/4574868/securing-my-rest-api-with-oauth-fter-still-allowing-authentication-via-third-pa