मैं एक वेब एप्लिकेशन के लिए एक आरईएसटी एपीआई पर काम कर रहा हूं कि अब तक हमने कुछ साथी अनुप्रयोगों के लिए आंतरिक रूप से विकसित किया है। अब जब हम बाहरी डेवलपर्स तक खुलने की सोच रहे हैं, तो हम एपीआई को टोकन जोड़ना चाहते हैं ताकि यह पहचानने में सहायता मिल सके कि अनुरोध कौन कर रहा है और सामान्य रूप से इसका उपयोग करने में मदद के लिए। इस बिंदु पर हम एपीआई पर उपयोगकर्ता प्रमाणीकरण के लिए https और बुनियादी प्रमाणीकरण का उपयोग कर रहे हैं।वेब एपीआई टोकन योजना के लिए अच्छा दृष्टिकोण?
टोकन योजना जिस पर हम चर्चा कर रहे हैं, वह बहुत आसान होगा जहां प्रत्येक डेवलपर को 1 या अधिक टोकन सौंपा जाएगा और इन टोकन प्रत्येक अनुरोध के साथ पैरामीटर के रूप में पारित किए जाएंगे।
मेरा सवाल यह है कि अगर आपने ऐसा कुछ किया है तो आपने ऐसा कुछ किया है (क्या आपने कम किया है, आपने सुरक्षा कैसे संभाली है, आदि) और क्या आपके पास कोई सिफारिश है?
धन्यवाद!
किसी भी दिलचस्पी के लिए, मैंने ओएथ के बिना किसी सुरक्षा से सुरक्षित आरईएसटी एपीआई में जाने के बारे में एक कहानी लिखी है: http://www.thebuzzmedia.com/designing-a-secure-rest-api-without- oauth-प्रमाणीकरण/ समस्या पहचान (अद्वितीय टोकन इत्यादि) के साथ नहीं है, समस्या यह है कि हमले वाले वैक्टर और आपके उपयोगकर्ताओं का प्रतिरूपण करने वाले लोगों को बंद कर दिया गया है। HTTP पर जिसके लिए चेकसम या "एचएमएसी" की आवश्यकता होती है - अनुरोध में सभी मानों को हस्ताक्षर करने के लिए केवल एक गुप्त कुंजी के साथ क्लाइंट और सर्वर पता है। एचटीटीपीएस से अधिक, यह बहुत आसान है, एक साधारण टोकन ठीक काम करता है। –