RESTE l'authentification de l'utilisateur

OK... l'idée de base est d'avoir le SERVEUR et le CLIENT physiquement séparés (deux systèmes).

Mon idée est de construire un stand-alone web services (REST, XML, API-KEY) qui fournira

  1. D'authentification: l'Utilisateur de connexion, de déconnexion
  2. De données: Obtenir la liste des produits

Alors je vais créer des clients dans différentes langues (Flash, PHP, JavaScript). Les données seront servis uniquement aux utilisateurs authentifiés.

Typiques de la communication pour l'utilisateur pour obtenir la liste des produits seront les suivants:

  1. (1 demande) Login /début de la session
  2. (1 demande) Obtenir la liste des produits
  3. (1 demande) Obtenir la liste des produits
  4. ...

OK... Maintenant le problème que j'ai est la session de l'utilisateur. Disons que nous voulons construire Javascript client, nous avons à créer PHP client de communiquer avec le RESTE (PHP sait à propos de l'API REST-CLÉ) et transmet les informations à Javascript (CLIENT) droit? L'utilisateur se connecte par le biais de PHP pour se REPOSER un serveur et ensuite les données de la demande par le biais de PHP pour se REPOSER serveur?

Questions:

  • Maintenant, comment fonctionne PHP stocker des informations sur ouverture de session utilisateur sur le RESTE du serveur?
  • Si mon idée est mauvaise, quelle est la bonne façon de la mise en œuvre?
  • Alternatives?
Je ne suis pas sûr à propos d'une chose. Une fois que l'utilisateur est authentifié sur le côté client et vous faites des appels à d'autres services comme obtenir la liste des produits. Comment ce service va savoir que l'utilisateur a été authentifié?
(1) d'Envoyer à l'utilisateur des informations d'identification avec tous à la demande, via le protocole HTTPS. (2) Utiliser un existant, pratique et sécurisé d'authentification de la bibliothèque. Par exemple, prendre un coup d'oeil à github.com/delight-im/PHP-Auth qui est à la fois un cadre indépendant et de base de données agnostique. (3) connectez-vous. (4) Faire le travail sur votre serveur. (5) connectez-vous de nouveau.

OriginalL'auteur xpepermint | 2009-09-21

  1. 7

    Une interface RESTful ne stockons pas d'informations sur une session utilisateur. Il appartient au client de conserver les informations sur ce qu'il est en train de faire.

    D'authentifier l'utilisateur sur chaque demande en fournissant de l'information dans l'Autorisation d'en-tête HTTP. SI cela devient un problème de performance, puis envisager d'autres solutions pour optimiser les perf.

    OriginalL'auteur Darrel Miller

  2. 4

    À votre première question: XmlHttpRequest demandes pour un service encore passer le long de cookies, qui peut être utilisé pour propager un ID de session. Vous pouvez même (en supposant que l'utilisateur du navigateur prend en charge) marque de cookies comme "HttpOnly" pour réduire votre XSS empreinte. Voir Jeff Atwood de l'article pour le détail sur l'.

    Les Cookies sorte de briser les "APATRIDES" la partie de REPOS.
    Vous pouvez toujours stocker l'état sur le client et d'être de tout repos. La seule restriction est que l'état de l'application ne doit pas être stocké sur le serveur.
    Dans ces discussions, il est important de faire la distinction l'état de l'application (état de session) à partir de ressources de l'état. Dans un cadre Reposant de l'architecture, des ressources de l'état est stocké côté serveur, alors que l'état de l'application est stocké côté client. [infoq.com/articles/mark-baker-hypermedia]

    OriginalL'auteur TML

  3. 1

    Vous devriez probablement utiliser l'authentification HTTP pour l'authentification de l'utilisateur, et donc pas besoin de faire une sorte de gestion de session.

    OriginalL'auteur Ciaran McNulty

  4. 0

    Vous n'avez pas besoin de PHP pour stocker une API-KEY si vous faites votre client classes en javascript assez intelligent pour ajouter l'API-KEY (chargé lors de la connexion) dans les en-têtes de chaque XmlHttpRequest votre classe se frayer.

    Aussi, il pourrait être bon de noter que l'API-KEY n'est pas nécessairement la clé d'authentification.

    OriginalL'auteur Martijn Laarman

  5. 0

    Je suis face au même problème. J'ai utilisé restserver en php.
    Bien sûr, le trafic va plus de connexion SSL.

    Quand je voudrais obtenir des informations sur certaines utilisateur doit s'authentifier en premier pour le reste du serveur avant que je puisse obtenir son info. Je voudrais savoir tout mieux approches?

    Poste similaire: Réparateur D'Authentification
    Bonne ressource est également OAuth2.
    Google utilise oauth:

    OAuth 2.0 est une nouvelle simplifiée d'autorisation de protocole pour toutes les Api Google. OAuth 2.0 s'appuie sur le protocole SSL pour la sécurité au lieu de demander à votre application cryptographique de signature directement. Ce protocole permet à votre application d'une demande d'accès à des données associées à un Compte Google.

    Lorsque l'application utilise ceci: http://restserver/user/login et disons que l'authentification est ok, l'application crée lui-même session comme ceci:

    Reste client/Application

        public function login() {

    .... form_validation

    //get restserver salt so we can send hashed password
    $message = $this->rest->get('https://restserver/user/salt');

    if($message['status_code'] !== '0') 
      exit;       

    $data = array(
      'username'  => $this->input->post('username'),
      'password'   => prepare_password_salt($this->input->post('password'), $message['salt'])
    );      

    //authenticate with restserver, check if the user and password exist
    $msg = $this->rest->post('https://restserver/user/login', $data);

    if($msg['status_code'] === '0')
    {
      //make session
      $session_data = array(
        'logged_in'     => true,
        'username'    =>  $data['username']
      );

      $this->session->set_userdata($session_data);
      redirect(base_url() . 'some_page');

    Reste Du Serveur

    /**
 * http://restserver/user POST 
 * - insert new user
 *
 * http://restserver/user/id PUT
 * - update existing user
 * 
 * http://restserver/user/login POST
 * - check if username exists and the password match
 * 
 * - return true on success login
 * - return false on failure
 *
 * http://restserver/user/id/hashed_pass GET
 * again client gets salt and then send hashed_pass
 * - return array(
 *   'username' ..
 *   'email' .... 
 *   .. other information
 * );
 * or we could use some access token but that means that the restserver
 * must save token for each user for some time and then delete
 *
 * HTTP server Allowed methods: GET, POST, PUT
 * HTTP server disallowed methods: DELETE
**/

class User extends Rest_Controller
{
  public function __construct()
  {
    parent::__construct();
    $this->load->library('form_validation');
  }

  /**
   * Check username and password with database.
   * 
   * @link /
   * @param $_POST['username'] (string)
   * @param $_POST['password'] (string - sha1(password . salt)) 
   * @return array which contains
   *                array['status_code']
   *                array['status']               
   *                status_code 0 means that login was successful
   *                status_code 1 means that username or password is incorrect
   */
   public function login_post()
   {
     $this->load->model('User_Model', 'user_model');

     $this->form_validation->set_rules('username', 'Username', 'trim|required|min_length[3]|max_length[64]');
     $this->form_validation->set_rules('password', 'Password', 'trim|required|exact_length[40]');

     if($this->form_validation->run() === true)
     {
       //check with the database
       if($this->user_model->authenticate($this->input->post('username'), $this->input->post('password')))
       {
         //update user last_login field
         $this->user_model->updateLogin($this->input->post('username'));

         $message = array(
           'status_code'    => '0',
           'status'     => 'Login ok.'
         );     
       }
       else
       {
         $message = array(
           'status_code'    => '1',
           'status'     => 'Username or password is incorrect.'
         );
       }
     }
     $this->response($message, 200);
   }

    OriginalL'auteur broadband