REST API d'Authentification

Je suis en train de construire une application qui sera hébergé sur un serveur. Je veux construire une API pour l'application de faciliter l'interaction avec à partir de n'importe quelle plateforme (Web App, Application Mobile). Ce que je ne comprends pas c'est que lors de l'utilisation de l'API REST, comment faire pour authentifier l'utilisateur.

Par exemple, lorsqu'un utilisateur a ouvert une session, puis veut créer un sujet sur le forum. Comment vais-je savoir que l'utilisateur est déjà connecté?

  • Vous devriez probablement de la recherche pour "RESTE authentification" ici. Il a été couvert dans de nombreuses autres questions.
  • En un mot, laissez-le client envoie un nom d'utilisateur et le mot de passe à chaque requête à l'aide de HTTP Basic Auth (sur SSL!), ou authentifier une fois que le client a une session authentifiée, qui viendront à échéance après une période d'inactivité (ou ce que vous choisissez de remplacer votre framework web " de gestion de sessions). Cette session peut alors être stocké dans un cookie, ou être un paramètre passé avec chaque requête (par exemple: JSESSIONID en Java terre).
  • Voir aussi Comment contrôler qui utilise mon widget web.
  • du point de vue sécurité, il n'est pas vraiment une bonne idée d'avoir la session gérée à l'aide de cookies dans une API REST cas, puisque les attaquants peuvent envoyer des demandes sans le consentement de l'utilisateur. Il est préférable d'inclure une session de hachage ou un jeton dans un en-tête HTTP (telles que l'Autorisation).
  • Corrigez-moi si je me trompe, mais les deux de vous et de mes suggestions sont juste des façons différentes d'utiliser un en-tête + local de stockage de liste déroulante pour effet la même chose. C'est Authorization en-tête + par ex. navigateur localStorage VS Cookie en-tête + standard cookie du navigateur de stockage.
  • Il dépend de domaine sur lequel le cookie est stocké. Si l'API envoyer le Set-Cookie et il est sauvegardé sur l'API de domaine - c'est le cas je le vois comme une vulnérabilité potentielle que toute demande sera authentifié (même les méchants). Si la demande est servi à partir d'un autre domaine (site web statique, CA, etc) et le cookie est défini sur ce domaine -, elle doit être fine.
  • Ma recommandation pour ceux qui regarde ce post, - ne pas rouler votre propre utilisation de ce qui est déjà là

InformationsquelleAutor Noor | 2011-11-03
  1. 71

    Vous pouvez utiliser l'adresse HTTP de Base ou de l'Authentification Digest. Vous pouvez procéder à l'authentification des utilisateurs à l'aide de SSL sur le dessus de cela, cependant, il ralentit l'API un peu.

    • L'authentification de base - utilise l'encodage Base64 sur le nom d'utilisateur et le mot de passe
    • L'authentification Digest - hache le nom d'utilisateur et le mot de passe avant de les envoyer sur le réseau.

    OAuth est le meilleur qu'il peut obtenir. Les avantages oAuth donne, c'est un être révoquées ou expirable jeton. Reportez-vous suivants sur la façon de mettre en œuvre:
    Lien de travail de commentaires: https://www.ida.liu.se/~TDP024/labs/hmacarticle.pdf

    InformationsquelleAutor ankitjaininfo
  2. 113

    Pour, par exemple, lorsqu'un utilisateur de se connecter.Maintenant, disons que l'utilisateur veut créer un sujet sur le forum, Comment vais-je savoir que l'utilisateur est déjà connecté?

    Pensez - y, il doit y avoir une poignée de main qui indique à votre "Créer un Forum" API que cette demande émane d'un utilisateur authentifié. Depuis les Api REST sont typiquement apatride, de l'état doivent être conservées quelque part. Votre client de consommer de l'Api REST est responsable du maintien de cet état. Généralement, c'est dans la forme d'un jeton qui est transmis depuis le temps que l'utilisateur était connecté. Si le jeton est bon, votre demande est bonne.

    Vérifier comment Amazon AWS ne authentifications. C'est un parfait exemple de "renvoyer la balle" autour d'une API à l'autre.

    *J'ai pensé à l'ajout de certaines pratiques de la réponse à ma réponse précédente. Essayez de Apache Shiro (ou tout authentification/autorisation de la bibliothèque). Ligne de fond, d'essayer et d'éviter le codage personnalisé. Une fois que vous avez intégré votre bibliothèque préférée (j'utilise Apache Shiro, btw), vous pouvez procéder de la façon suivante:

    1. Créer un compte de Connexion/déconnexion de l'API comme: /api/v1/login et api/v1/logout
    2. Dans ces de Connexion et de Déconnexion des Api, effectuer l'authentification avec votre
      utilisateurs de stocker
    3. Le résultat est un jeton (généralement, JSESSIONID) qui est envoyé au client (web, mobile, peu importe)
    4. À partir de ce point, tous les appels effectués par votre client
      comprendra ce jeton
    5. Disons que votre prochain appel à une API appelée /api/v1/findUser
    6. La première chose que cette API code va faire est de vérifier le jeton ("est
      cet utilisateur authentifié?")
    7. Si la réponse est NON, alors vous jeter un HTTP 401 État
      de retour chez le client. Laissez-les gérer.
    8. Si la réponse est OUI, passez à retourner la demande de l'Utilisateur

    C'est tout. Espérons que cette aide.

    • Donc, ce que vous décrivez est essentiellement un cookie de session, non?
    • oui, mais la session est "maintenu" à 2 endroits différents. L'un dans l'API serveur, un autre dans le Navigateur. Le JSON (ou autre) réponse au navigateur post connexion réussie doit communiquer l'id de session dans l'API du serveur au navigateur. Ces séances sont gérés de manière indépendante par leurs agents respectifs.
    • Que les sons exactgly comme des cookies de session pour moi. Pour les cookies de session le serveur gère l'id de session et l'associe à un utilisateur donné. Le navigateur mémorise alors que les id dans un cookie qu'il envoie au serveur à chaque fois. Je ne suis pas sûr de ce que vous entendez par "maintenue" à 2 endroits différents, sauf si tu veux dire que le jeton est stocké.
    • Je crois Kingz a été d'essayer de répandre l'idée que le mécanisme du maintien de la session est volontairement vague. Un cookie de session est juste une mise en œuvre de ce mécanisme.
    • Ce sujet de la sécurité dans cette solution, par exemple si un hacker de renifler le lien avec session_id et de commencer à envoyer des requêtes dont le contenu correct session_id ? On peut le résoudre par ajouter le protocole ssl pour le serveur de connexion, mais ce que sur les clients?
    • Donc dans l'ensemble. Si je la mettre en œuvre. ensuite, j'ai besoin d'utiliser des cookies comme gage? Fondamentalement, le jeton que vous dites n'est rien, mais le cookie droit?
    • Est JSESSIONID généralement enregistré dans la base de données après sa création? Je veux dire, comment le serveur peut-il savoir si l'envoyé JSESSIONID est la bonne?
    • JSESSIONID est éphémère et il est codé dans le cookie et stockés dans votre navigateur. Du côté du serveur, il vit aussi longtemps que la session de vie. Puis s'en va. Quand il ne disparaît, l'arrivée d'un cookie avec qui JSESSIONID sera traitée comme une demande non valide, et l'utilisateur sera invité à vous connecter à nouveau.
    • comment prévenir le détournement de session dans l'homme-dans-le-milieu-attrack cas ?
    • Donc n'importe qui avec le jeton de l'utilisateur authentifié. Donc facile de détourner la session et de faire semblant d'être comme un utilisateur légitime.
    • si le jeton de session sera envoyé dans l'entête de la requête, ou doit-elle faire partie de la fils demande? Donc, quelque chose comme {header:{token:'JJ'},body:{ItemId:5}}. Ma conjecture est que le dernier nécessiterait tout pour être affichés plutôt que getted (est-ce le bon mot, je n'ai jamais pensé à ça avant). En gardant le jeton de l'en-tête maintient la demande propre, si l'acquisition ou l'affichage (ou .mettre, etc). Je suppose que la réponse pourrait être de l'éther, je me demandais simplement si il y a une norme "Meilleures Pratiques".

    InformationsquelleAutor Kingz
  3. 37

    1. Utilisation HTTP Basic Auth pour authentifier les clients, mais la traiter de nom d'utilisateur/mot de passe uniquement comme temporaire jeton de session.

      Le jeton de session est juste un en-tête attaché à chaque de la requête HTTP, par exemple: Authorization: Basic Ym9ic2Vzc2lvbjE6czNjcmV0

      La chaîne Ym9ic2Vzc2lvbjE6czNjcmV0 ci-dessus est juste la chaîne "bobsession1:s3cret" (qui est un nom d'utilisateur/mot de passe) encodé en Base64.

    2. Pour obtenir le temporaire jeton de session ci-dessus, fournir une fonction de l'API (par exemple: http://mycompany.com/apiv1/login) qui prend master-nom d'utilisateur et le maître-mot de passe comme une entrée, crée un temporaire HTTP Basic Auth nom d'utilisateur /mot de passe sur le serveur, et renvoie le jeton (par exemple: Ym9ic2Vzc2lvbjE6czNjcmV0). Ce nom d'utilisateur /mot de passe devrait être temporaire, il expire après 20min environ.

    3. Pour plus de sécurité, assurer votre REPOS de service sont servis sur HTTPS afin que les informations ne sont pas transmises en clair

    Si vous êtes sur l'île de Java, Spring Security bibliothèque fournit un bon support pour implémenter la méthode ci-dessus

    • Pourquoi devrait-il expire au bout de 20 min? si c'est un site comme facebook que la connexion est jusqu'à ce que l'utilisateur se déconnecte?
    • J'ai été dans l'hypothèse d'une "session" est de nature temporaire. Il est commun pour qu'il expire si l'utilisateur est au ralenti
    • Quel est le Base64 pour? Vous pouvez simplement retourner le mot de passe temporaire. Dans les deux cas, ce qui importe vraiment, c'est que ce mot de passe temporaire est forte. Vérifier security.stackexchange.com/a/19686/72945
    InformationsquelleAutor gerrytan
  4. 7

    Je pense que la meilleure approche est d'utiliser OAuth2. Google et vous trouverez beaucoup de messages pour vous aider à le configurer.

    Il va faire plus facile de développer des applications clientes pour votre API à partir d'une application web ou mobile.

    Espère que cela vous aide.

    • Merci de lire cette question et la réponse par Les Hazelwood (auteur de Apache Shiro).
    InformationsquelleAutor Paulo Henrique
  5. 0

    J'ai été en utilisant le JWT d'authentification. Fonctionne très bien dans mon application.

    Il y a une méthode d'authentification qui demandera à l'utilisateur des informations d'identification. Cette méthode valide les informations d'identification et renvoie un jeton d'accès en cas de succès.

    Ce jeton doit être envoyé à tous les autres de la méthode dans mon API Web dans l'en-tête de la demande.

    C'est assez facile à mettre en œuvre, et très facile à tester.

    InformationsquelleAutor Arthur Medeiros