Sto lavorando su un'API REST per un'applicazione web che fino ad ora abbiamo sviluppato internamente per un paio di applicazioni complementari. Ora che stiamo cercando di aprire agli sviluppatori esterni, vogliamo aggiungere token all'API per aiutare a identificare chi sta facendo richieste e in generale per aiutarlo a gestirlo. A questo punto utilizziamo https e l'autenticazione di base per l'autenticazione dell'utente sull'API.Un buon approccio per uno schema di token API Web?
Lo schema di token di cui stiamo discutendo sarebbe molto semplice dove a ogni sviluppatore verrebbero assegnati 1 o più token e questi token sarebbero passati come parametro per ogni richiesta.
La mia domanda è se hai fatto qualcosa di simile prima come hai fatto (hai fatto più o meno, come hai gestito la sicurezza, ecc.) E hai qualche consiglio?
Grazie!
Per chiunque fosse interessato, ho scritto una storia su come passare da nessuna sicurezza a un'API REST sicura senza OAuth qui: http://www.thebuzzmedia.com/designing-a-secure-rest-api-without- oauth-authentication/ Il problema non è l'identificazione (token unici, ecc.) il problema è con la chiusura di vettori di attacco e persone che impersonano i tuoi utenti. Su HTTP che richiede un checksum o un "HMAC" - firmando tutti i valori nella richiesta con una chiave segreta solo il client e il server lo sanno. Oltre HTTPS, è molto più semplice, un semplice token funziona bene. –