आरईएसटी प्रमाणीकरण और एचएमएसी/निजी कुंजी (मैं इसे कब सेट करूं?)

Question

मैं पिछले कुछ दिनों में एक साधारण एप्लिकेशन विचार के साथ घूम रहा हूं क्योंकि मैं खुद को आरईएसटी प्रमाणीकरण के मूलभूत सिखाने की कोशिश कर रहा हूं।

अब तक मैंने इकट्ठा किया है कि सर्वोत्तम ऐसा करने का तरीका है एचएमएसी के कार्यान्वयन के साथ अमेज़ॅन द्वारा उपयोग किए जाने वाले।

मेरी सबसे बड़ी चिंता यह है कि मैं उपयोगकर्ता को और प्रमाणित करने का अनुमान लगाता हूं, इसलिए उन्हें अपनी निजी कुंजी दें ताकि वे एचएमएसी पर हस्ताक्षर करना शुरू कर सकें? मैं पढ़ता रहता हूं कि एचएमएसी पर हस्ताक्षर करने के लिए उपयोग की जाने वाली निजी कुंजी तार पर कभी भी पर नहीं भेजी जानी चाहिए, लेकिन फिर वे इसे पहले स्थान पर कैसे प्राप्त करते हैं?

मेरा विचार कुछ ऐसा था, लेकिन मुझे यकीन नहीं है कि यह मान्य है या नहीं। उपयोगकर्ताओं के लिए

डेटाबेस तालिका:

users (simplified, this would probably be a private key per client app?) 
    id (their public key?) 
    username 
    password? 
    privatekey 

एक HTML/JS ग्राहक मान लिया जाये कि उपयोगकर्ता एक पारंपरिक प्रवेश पृष्ठ है कि कुछ इस तरह के साथ एपीआई के पोस्ट के साथ प्रस्तुत किया जाएगा:

https://example.com/myapp/api/v1/authenticate.json 
POST: username/password 

कि या तो

404:User not found 
200:{ "id" : <id>, "privatekey": <privatekey> } 

ग्राहक तब उस कुंजी को कहीं स्टोर करेगा (wou ld स्थानीय भंडारण/कुकी एक सुरक्षित जगह हो सकता है?) और इसका इस्तेमाल आगे अनुरोध किया है कि इस

GET https://example.com/myapp/api/v1/something/?key1=value1&publickey={theirID}&hmac={hmac signature of the request using their private key} 

सर्वर तो सार्वजनिक कुंजी की जाँच करेगा, संबद्ध निजी कुंजी को पुनः प्राप्त और HMAC हस्ताक्षर पुनर्निर्माण लगेगा हस्ताक्षर करने के लिए, यदि वे मेल खाते हैं तो हमारे पास एक प्रमाणित अनुरोध प्रक्रिया है।

क्या मुझे यह अधिकार मिल रहा है? मुझे यकीन नहीं है कि मैं एक निजी कुंजी की भूमिका को समझता हूं अगर मुझे अभी भी मेरे उदाहरण में एक पासवर्ड चाहिए तो कुछ मुझे बता रहा है कि मैं गलत हो सकता हूं।

Answer 1

मुझे लगता है कि आपको अपने आवेदन के बारे में अधिक जानकारी प्रदान करने की आवश्यकता है और इसका उपयोग कैसे किया जाएगा। आरईएसटी प्रमाणीकरण करने के कई तरीके हैं। उनमें से कुछ मानक हैं, कुछ नहीं। ये सिर्फ कुछ उदाहरण हैं: (OAuth 2, SPNEGO, विभिन्न एसटीएस)

HMAC

क्लाइंट SSL प्रमाणपत्र

हस्ताक्षर/एन्क्रिप्टेड टोकन प्रमाणीकरण की

1. Basic authentication over SSL
2. Digest authentication
3. विभिन्न प्रकार कुकीज़।

अमेज़ॅन एस 3 के मामले में, जब आप पंजीकरण करते हैं तो वे आपको "एडब्ल्यूएस गुप्त पहुंच कुंजी" देते हैं। बाद में आपके एप्लिकेशन कोड को हस्ताक्षर की गणना करने में सक्षम होने के लिए गुप्त कुंजी पता होना चाहिए (या इसे हस्ताक्षरित अनुरोध/यूआरएल जानने की आवश्यकता है) तो आखिरकार पंजीकरण के दौरान कम से कम एक बार "गुप्त पहुंच कुंजी" तार पर प्रसारित हो जाती है।

आप सार्वजनिक कुंजी क्रिप्टोग्राफी (क्लाइंट SSL प्रमाणपत्र की तरह) का उपयोग करते हैं - आप निजी कुंजी संचारण पूरी तरह

1. आप क्लाइंट पर सार्वजनिक/निजी कुंजी उत्पन्न से बच सकते हैं
2. सर्वर से सार्वजनिक कुंजी जमा करें (या प्रमाण पत्र विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित)
3. निजी कुंजी और सर्वर के साथ साइन अनुरोध (या nonces) सार्वजनिक कुंजी का उपयोग करके हस्ताक्षर मान्य करता है।

यदि आपका लक्ष्य लॉग इन पेज पर प्रमाणित होने के बाद आपकी साइट पर किए गए AJAX अनुरोधों को प्रमाणित करना है - तो आप बस सर्वर हस्ताक्षरित कुकीज़ का उपयोग कर सकते हैं।