Rendre mon API web sécurisée?

Je crée une API web simple qui retourne json.Rendre mon API web sécurisée?

Il effectuera des opérations de crud simple. Quelle est la meilleure façon d'authentifier les utilisateurs, OAuth semble être la recommandation principale ici, mais je cherche quelque chose que je peux implémenter moi-même simplement, basé sur un jeton ou une clé API?

Toutes les idées suggestions conseils serait génial, merci

MISE À JOUR: Vous avez oublié de mentionner, cette API ne sera pas en pour comsumption général, est juste pour mon propre usage, mais je veux vous assurer que quelqu'un ne peux pas obtenir trop facilement si ils trébuchent dessus.

Source

2011-11-07 Rigobert Song

Tout d'abord, afin de construire une bonne API, vous devriez utiliser l'API des autres pour voir comment ils fonctionnent. Pour être RESTful, une clé API est utilisée, qui est juste un très grand nombre aléatoire ou "nonce cryptographique". Mais c'est vraiment comme un ID de session immortel pour rechercher des informations d'authentification d'un utilisateur, ce qui n'est pas génial. OAuth est génial, si vous voulez votre propre système kerberos est très sécurisé.

Il est possible de hijack json responses, ce qui est un piège contre json. Si la clé API est requise pour chaque requête, l'attaquant ne peut pas utiliser cette méthode.

Source

2011-11-07 15:15:14 rook

Merci pris! L'API peut suffire car je connaîtrai l'adresse IP de cette requête! –

@Rigobert Song maintenant c'est une très mauvaise idée qu'aucune API que je connais des utilisations. Vous ouvrez la porte pour le détournement de JSON. Les adresses IP sont partagées par les utilisateurs. Oah et il deviendra inutile pour de nombreuses entreprises et écoles parce que les balances de charge feront pivoter l'adresse IP de l'utilisateur. – rook

Désolé pour dire API clé! J'ai mis à jour la question, c'est seulement pour mon usage et pas un APi public! –

Rendre mon API web sécurisée?

Répondre

Questions connexes