J'ai écrit une application Web et j'aimerais permettre à d'autres développeurs d'en obtenir les informations.Implémentation de clés Api (sécurisées) dans une application
Le serveur sur lequel je travaille n'est pas si génial et ne peut pas gérer autant de requêtes, donc l'idée est de générer et d'assigner des clés api à tous ceux qui veulent interroger nos informations. Avec les clés Api, je peux limiter les requêtes quotidiennes et peut-être recueillir des statistiques pour voir quelles informations sont vraiment utiles pour les autres développeurs.
La chose est, Im préoccupé par l'aspect de la sécurité de celui-ci. Puisque la clé Api va être envoyée à notre serveur (via GET/POST, etc), quelqu'un peut sniffer la demande avec wireshark et obtenir la clé de l'API des développeurs sans trop d'effort, non? Je pensais à générer une clé secrète et une clé API. Je pourrais ensuite demander aux autres développeurs de les concaténer et d'en envoyer un hash à notre API. Je validerais alors que le hash est valide et permet la requête ... Mais alors le même problème persisterait. Un hacker peut toujours renifler ce hachage et faire des demandes au nom de l'application de l'autre développeur.
Mes questions sont
- Comment puis-je éviter ce problème?
- Ou mieux encore, mon inquiétude est-elle même valable? Est-ce un vrai problème?
- Existe-t-il un moyen plus sûr de permettre l'accès à mes informations sans que cela ne soit trop compliqué pour les autres développeurs?
Qu'en pensez-vous?
J'ai abattu cela par hasard (je ne me souviens même pas d'avoir lu ceci). Comment puis-je annuler cela. – Gellweiler