Arka plan:

Hizmet web DİNLENMEK için kimlik doğrulama şeması tasarlıyorum. Bu "gerçekten" mümkün olduğunca güvenli hale getirmek istiyorum güvenli (kişisel bir proje daha var) ama gerek öğrenme deneyimi/. bir egzersiz olarak değil Güçlük ve, çoğunlukla, bu kurma masrafına istemiyorum beri SSL kullanmak istemiyorum.

Bu KADAR soru beni başlamak için özellikle yararlı olmuştur

• RESTful Authentication
• Best Practices for securing a REST API / web service
• Examples of the best SOAP/REST/RPC web APIs? And why do you like them? And what’s wrong with them?

Amazon S3's authentication (ama benim ihtiyaçları için karmaşık görünüyor da OAuth ben gibi) basitleştirilmiş bir sürümünü kullanmayı düşünüyorum. Bir rasgele yeniden gönderme saldırılarını önlemek için isteği, nonce sunucu tarafından sağlanan, oluşturulan ekliyorum.

Soruya geçmek için:

Hem S3 ve OAuth isteği birkaç seçili üstbilgiler URL ile birlikte imza güveniyor.İkisi de istek gövdesini işaretveya POST istekleri KOYDU. Bu da saldırganın istediği herhangi bir veri ile man-in-the-orta url tutar ve istek başlıklarını yerini alan saldırı, vücut savunmasız değil mi?

İsteği bir karma imzalı alır dize vücut dahil olmak üzere, bu karşı korumak olabilir gibi görünüyor. Bu güvenli mi?

Bir önceki cevap sadece veri aktarımı bağlamında SSL bahsedilen ve aslında kimlik doğrulama kapak yoktu.

Gerçekten güvenli bir şekilde REST API istemciler kimlik doğrulaması hakkında soruyorsun. TLS istemci kimlik doğrulaması kullanarak değilseniz, SSLyalnızDİNLENMEK için uygun bir kimlik doğrulama mekanizması DEĞİLDİR API. İstemci SSL authc olmadan sadece doğrularserverçoğu gerçekten doğrulamak istiyorum . çünkü REST API için önemsiz olan , ^em>istemci.

Eğer ki TLS İstemci Kimlik Doğrulaması gerekir kullanmak gibi bir şey bir özet tabanlı bir kimlik doğrulama şeması (Amazon Web Servisi özel programı) veya OAuth 1.0 hatta HTTP Temel kimlik doğrulaması (Ama yaLnızca SSL).

Bu şemaları isteği beklenen biri tarafından gönderilen bir kimlik. TLS (SSL) (İstemci Kimlik Doğrulaması olmadan) verileri kablo üzerinden gönderilen kurcalanmamış kalmasını sağlar. Ayrı bir tamamlayıcıdır ilgilendiriyor.

İlgilenenler için, HTTP Authentication Schemes and how they work hakkında bir soru üzerinde büyüttüm.