Dinlendirici bir web hizmeti kimlik doğrulama | Netgez.com
SORU
28 AĞUSTOS 2010, CUMARTESİ


Dinlendirici bir web hizmeti kimlik doÄŸrulama

Farklı 3. şahıslar tarafından kullanılan Dinlendirici bir web hizmeti API var. Bu API bir parçası kısıtlı (erişim için kullanıcı adı/parola gerekir). Kimlik doğrulaması uygulamak için en iyi yolu ne olacağını merak ediyordum?

Https kullanıyorum, iletişim şifrelenir. İki fikir var:

  • Kullanıcı (yasak) servisi kullanarak baÅŸlamadan önce, kullanıcı adı/kullanma SONRASI (https kullanıldığından, kimlik bilgileri ÅŸifreli) parolası gönderir. GiriÅŸ baÅŸarılı olduktan sonra, sunucu bu kullanıcı adı ile eÅŸleÅŸen geri rastgele tek kullanımlık deÄŸeri (sapık) gönderir. Bir sonraki isteÄŸi yapılıyor, birlikte yan kullanıcı adı, bir istemci, daha önce beÅŸ para etmez geri gönderir. Sunucular kullanıcı adı ve sapık ve döner yan istenen veri birlikte yeni sapık maçlar. Her yeni istek, yeni bir seks manyağı kullanır. Temel olarak, bu Özet eriÅŸim kimlik doÄŸrulaması hafif bir versiyonu.
  • Bu API 3. parti kullanıldığından, kullanıcı adı/parola (yasak) her istek için kullanılabilir. Https kullanıldığından, ÅŸifreli olacak. Bu yaklaşımın düşüşünü bu Dinlendirici uyumlu (POST her zaman kullanılacaktır) olmaz aslında.

Ben çok daha yakın seçimi ilk yaklaşım (Dinlendirici uyumlu, nispeten kolay uygulanması, XML, json veya html kullanılabilir olmadan değişen bir şey), ama görmek istedim sizin fikriniz nedir? Ne tavsiye edersiniz: ilk, ikinci ya da üçüncü yaklaşım?

Btw, sunucu tarafında Python kullanıyorum.

CEVAP
19 HAZİRAN 2011, Pazar


Bu API yapılan gördüğüm tek yönlü (ve yönetmektedir am) Huzurlu bir kaynak oluşturunOturumbir ile oluşturulurPOSTbir kullanıcı adı ve parola malzemeleri.

Bunu hayata geçirdim burada

POST /sessions { Username: "User", Password: "Password" }

Zaman sınırlı bir oturum oluşturmak ve oturum oturum anahtarı değeri ve vade içeren kaynak döner. Ayrıca API istemcileri uygulanmasına kolaylık sağlamak için bir çerez değeri olarak dönmek isteyebilirsiniz.

DELETE /session/{id}

Hemen sona artık kullanılabilir oturumu. Bu oturum kapatmaları Açık için kullanılır.

Ben o kullanıcı da Çerez değeri üzerinden teslim edilmesi için izin verebilirsiniz ama sorgu parametresi üzerinden oturum anahtarı takın, her ikisi için izin tavsiye ederim.

Bu konuda tercih ederim çok kolay olmasıdır.

Belli ki sizin senaryo oturumlarına yönetilmelidir nasıl biraz dikte edecek, belki de zamanın kısıtlı ve son sonsuza kadar değil, ve belki de bir ya da daha fazla güvenlik için karma şifreli.

Eğer her yerde HTTPS kullanıyorsanız muhtemelen çok fazla endişelenmenize gerek yok. Eğer HTTP kullanmak istiyorsanız ancak,, bir karma gibi bir şey boyunca gizli bir anahtar ile kullanmak ve isteği doğrultusunda güvenli bir anahtar oluşturmak için bir zaman damgası söylemek gerekir. Bu şekilde HTTPS üzerinden gizli anahtar paylaşımı ve görüşmeler için HTTP geçin. Eğer birisi bir isteğin anahtarı koklamak için yönetir bile hemen sona erecek ve faydasız olabilir.

Yasal Uyarı: bir güvenlik uzmanı değilim ;-).

Bunu PaylaÅŸ:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Baby Big Mouth

    Baby Big Mou

    5 Mart 2013
  • hockeywebcasts

    hockeywebcas

    31 EKİM 2012
  • Rozetked | Обзоры

    Rozetked | Ð

    5 AÄžUSTOS 2011