Comment faire l'authentification dans un service HTTP?

Question

Nous avons actuellement un site Web qui a des fonctionnalités de compte utilisateur, mais nous cherchons à fournir une API pour permettre aux utilisateurs de gérer leurs comptes/effectuer des actions via d'autres appareils/sites Web, en fournissant une API pour les tâches courantes.

Actuellement la connexion se fait via le site HTTPS pour la sécurité, puis géré à l'aide des sessions PHP avec des mesures de sécurité appropriées pour se prémunir contre le détournement de session, etc.

Comment pourrions-nous fournir cette fonctionnalité dans une API?

Comment est-il possible de soumettre une connexion sans faire un POST? (Comme probablement GET est le seul moyen de le faire via un appel d'API). Est en cours une URL comme: https://www.example.com/login/user-foo@password=bar sécurisé? Est-ce que la configuration https se produit avant que l'URL ne soit envoyée sur le réseau?

Si je peux trier cela alors je voudrais que le login retourne un jeton d'accès. La première requête doit inclure ce jeton, et la réponse doit renvoyer un nouveau jeton , à utiliser sur la deuxième requête et ainsi de suite ....

Est-ce que cela fonctionnerait?

Answer 1

Vous pouvez utiliser basic www-authentication. Il s'agit essentiellement d'un en-tête contenant un nom d'utilisateur et un mot de passe. La bonne chose à ce sujet, c'est qu'il est sans état (vous n'avez pas besoin d'un processus de connexion séparé), et il est très bien pris en charge. C'est aussi très simple à mettre en œuvre. Tant que vous le servez sur https, la sécurité est bonne.

Est-ce qu'un URL comme: https://www.example.com/login/user-foo@password=bar est sécurisé?

Il est déconseillé de placer les informations d'identification dans l'URL, car elles peuvent se retrouver dans un journal.

La configuration https se produit-elle avant que l'URL ne soit envoyée sur le réseau?

Oui, https est établi avant le protocole http. La seule chose qu'une personne malveillante serait capable de voir, ce sont les adresses IP des points de terminaison.

Answer 2

Avez-vous pensé à utiliser SOAP sur SSL? En théorie, vous devriez pouvoir authentifier un utilisateur via SOAP.

Answer 3

Utilisez un standard, tel que OAuth? Si vous le permettez, votre utilisateur peut conserver le jeton authentifié aussi longtemps qu'il le souhaite. Sinon, vous pouvez ne pas avoir besoin d'authentification du tout, si vous pouviez rediriger vers un login quand une requête GET arrive. Par exemple: n'importe quel site peut créer un lien vers une URL vers add a tweet vers Twitter. Lorsqu'il n'est pas connecté, Twitter redirige d'abord vers la page de connexion. Le site référent n'a même pas besoin de connaître le nom d'utilisateur Twitter.

(Et oui:. HTTPS est établie, basée sur l'adresse IP du serveur, avant que l'URL est envoyée)

Answer 4

Vous pouvez effectuer une authentification dans une API REST en exigeant qu'un en-tête soit défini par l'appelant. C'est-à-dire qu'ils définissent un en-tête "X-YourApp-API-Key" que vous lisez et utilisez pour vous authentifier. Cela vous permet d'authentifier non seulement les méthodes POST et GET, mais aussi PUT, HEAD et DELETE pour disposer de toutes les méthodes REST.

Cela est très bien si tous vos appels sont via HTTPS. Si vous souhaitez vous authentifier via HTTPS et recevoir ensuite des appels via HTTP, vous devez implémenter quelque chose qui fonctionne comme OAuth et émettre un jeton pour les demandes en clair.