Как разрешить пользователям проходить аутентификацию с помощью моего REST API?
Я пытаюсь создать REST API для своего следующего проекта. Я думаю, что понимаю большинство концепций, но я немного уверен в безопасности. Очевидно, что безопасность - это единственная вещь, которую вы не хотите ошибаться даже с первого выпуска производственного кода.
Я понимаю, что REST является апатридом, поэтому вместо того, чтобы войти в систему и их сеанс храниться на сервере и перезапускаться каждый раз, когда они делают запрос, они отправляют серверу свой уникальный ключ API, а сервер аутентифицирует их при каждом запросе.
Итак, как пользователь, входящий в систему, выглядит "под капотом"? Это что-то вроде:
- Пользователь вводит свое имя пользователя и пароль
- Они отправляются через POST (или PUT) в конечную точку API
- Если учетные данные действительны, генерируется уникальный ключ API и возвращается клиенту
- Если учетные данные недействительны, ошибка возвращается клиенту
Тогда клиент обязан хранить ключ API и отправлять его с каждым запросом. Этот ключ хранится на сервере в базе данных и используется для идентификации пользователя и его разрешений и т.д. По каждому запросу.
Это звучит разумно, но также нарушает истинную безгражданность приложения, потому что для большинства запросов требуется, чтобы начальный запрос "сделайте меня API-ключ" отправлен.
Заранее спасибо за то, что помогли мне разобраться!
1 ответ
API GroupMe, например, использует подход на основе токенов для аутентификации пользователей своего API (это позволяет пользователям их API создавать скрипты для вызова API от их имени).
Чтобы успешно совершать вызовы API, я (как пользователь API) должен был войти в систему и создать приложение, которое предоставило мне токен доступа (см. Изображение).
Этот токен доступа (в случае groupme) - это то, что я должен был включить со всеми запросами, чтобы запрос был успешным. Формат может отличаться в зависимости от того, какой API вы используете, но в случае groupme он выглядит так:
https://api.groupme.com/v3/PAGE_TO_CALL?token=YOUR_ACCESS_TOKEN
Это позволит API GroupMe идентифицировать меня и выполнить любое действие, которое я указал. Этот токен доступа похож на мое имя пользователя и пароль, тот, у кого он есть, сможет делать вызовы API как я, включая любые скрипты, которые я создаю...
Если вы заинтересованы в создании своего собственного REST API, я бы рассмотрел эту статью, в частности последний раздел о создании метода проверки подлинности на токенах, который другие пользователи могли бы использовать для аутентификации с вашим API.
Вот наиболее актуальная выдержка:
Проверка подлинности API
В обычных веб-приложениях обработка аутентификации обычно осуществляется путем принятия имени пользователя и пароля и сохранения идентификатора пользователя в сеансе. Пользовательский браузер сохраняет cookie с идентификатором сеанса. Когда пользователь посещает страницу на сайте, для которой требуется аутентификация, браузер отправляет файл cookie, приложение просматривает сеанс по идентификатору (если он еще не истек), и поскольку идентификатор пользователя был сохранен в сеансе, пользователь разрешено просматривать страницу.
С API, использование сессий для отслеживания пользователей не обязательно является наилучшим подходом. Иногда ваши пользователи могут получить доступ к API напрямую, в то время как пользователь может авторизовать другое приложение для доступа к API от их имени.
Решением этого является использование аутентификации на основе токенов. Пользователь регистрируется со своим именем пользователя и паролем, и приложение отвечает уникальным маркером, который пользователь может использовать для будущих запросов. Этот токен может быть передан в приложение, чтобы пользователь мог отозвать этот токен позже, если они откажутся от этого приложения.
Существует стандартный способ сделать это, что стало очень популярным. Он назывался OAuth. В частности, версия 2 стандарта OAuth. Есть много отличных ресурсов в Интернете для реализации OAuth, поэтому я бы сказал, что выходит за рамки этого урока. Если вы используете Ruby, есть несколько больших библиотек, которые обрабатывают большую часть работы для вас, например OmniAuth.
-
0Итак, вы имеете в виду, что вместо «входа в систему» вам пришлось вручную запрашивать токен доступа в их системе, чтобы использовать его при отправке запросов к их API. Вы сказали, что должны были войти в систему, чтобы создать приложение, и я предполагаю, что их собственный сайт взаимодействует с их API. Как этот процесс входа работает с их собственной системой? Я надеюсь, что мой вопрос немного яснее.Ben Guest
-
0что вы имеете в виду в процессе входа? Вы имеете в виду использование токена доступа для аутентификации с помощью их API или вход на dev.groupme.com для создания приложения и получения токена доступа?MoralCode
Ещё вопросы
- 0ошибка в импорте sqoop
- 1C # Отображение JPG изображения с WPF не работает
- 0Выберите значение из выпадающего списка, в котором данные взяты из базы данных
- 0не удается найти кнопку на веб-сайте с помощью Selenium IDE
- 0SQL соответствует условиям на основе максимального значения
- 0scanf может читать только 3 символа в 5-позиционном массиве символов
- 1Контроль кэша игнорируется
- 0Как анимировать размер этих вложенных элементов div? (JQuery)
- 0получить мета-описание из базы данных yii
- 0prettyCheckable останавливает проверку jquery от работы в флажках
- 1как удалить /root/.local/lib/python2.7?
- 0Показать ближе всего со спец. класс
- 1Перенаправить на ту же страницу в другой папке
- 1Sympy - сравнение эквивалентных выражений со знаком равенства (=)
- 0Как управлять областью фона, чтобы цвет только на ограниченной области был другим?
- 1Fluent Builder / DSL в Java на примере
- 1Измените время сервера на местное время, отправленное Facebook
- 1HTTPS-соединения - как управляются пары ключей
- 0Разница между SELECT COUNT (*) и SELECT true при поиске конкретной строки в таблице миллиардов строк
- 0MySQL, используя сумму для столбца, чтобы получить общую сумму для каждой группы
- 1Python: причина ошибки типа с неправильным числом аргументов
- 1Как добавить пули в powerpoint
- 0функция () не реагирует на отправку формы
- 0Отладка Visual studio 2008; разрыв, когда значения пишутся
- 0невозможно загрузить динамическую библиотеку
- 0Почему переполнение вывода std :: cout?
- 1Google Sign In в Android получает неверный сертификат отпечатка пальца SHA-1 ошибка
- 0cmake, уточнение по include_directories
- 0AngularJS проверяет строку таблицы с кнопками обновления в каждой строке
- 0отправлять http запросы, поддерживать сессию: C / C ++ с cURL (камера Axus)
- 1java.lang.ArrayIndexOutOfBoundsException: 0 В самой простой программе
- 0Включить кнопку обзора Jquery.
- 0Почему препроцессор пропускает файл, основываясь на его «модифицированной дате»?
- 1Как отсортировать список <Type> по списку <String> во флаттере
- 1Как удалить тень из панели приложений и добавить тень в TabLayout
- 0С FTP на Bitbucket / Dropbox / Box
- 1Привет! Я делаю код Java, указанный ниже, для формы входа. Он не перенаправляет меня на страницу employee.jsp или клиента jsp.
- 0Получение неверных данных с помощью boost :: asio socket
- 1Сканирование штрих-кода не работает с API видения
- 0Угловой выбор помнить при перемещении по представлениям
- 0ссылки в tinyMce
- 1Местоположение включено, но слушатель ничего не возвращает
- 1Как называется этот шаблон? (многоразовый вес)
- 1Трудности с использованием Python-запроса (POST) + API
- 1Как включается светодиод Android во время использования приложения?
- 1Как изменить статус релиза продукта на альфа / бета приложение для Android в Google Play
- 0Метод jQuery text ()
- 1Как выделить таблицу строк, если дано условие?
- 1Привязать динамически сгенерированный Grid как DataTemplate к HubSection в C #
- 1Matplotlib неправильно отображает гистограмму
