20
私はAPIを使って作業していますが、私はいつもあなたがキーと秘密を使わなければならない理由を疑問に思ってきました。ほとんどのAPIで作業する場合、なぜキーとシークレットの2種類の認証が必要ですか?
なぜ2種類の認証が必要ですか?
A
答えて
48
サーバーがAPI呼び出しを受け取るときには、2つのことを知る必要があります。誰が呼び出しを行っているのか、そして呼び出しが正当なものかどうか。
1つのアイテム(「キー」)があっただけで、すべての呼び出しにそれが含まれていれば、両方の質問に回答します。 「キー」に基づいて、サーバーはあなたが誰であるかを知っているだけで、そのキーを知っているだけなので、電話が実際にあなたから来ていることを証明します。しかし、すべての呼び出しでキーを含めることはセキュリティ上の慣習ではありません。誰かがあなたのメッセージを転送中に読み取ることができれば、あなたの鍵は侵害され、誰かがあなたのふりをすることができます。 HTTPSを使用している場合を除き、この方法は機能しません。
代わりに、「秘密」番号で署名されたすべての通話にデジタル署名を含めることができます。 (「秘密」番号自体は送信されません)。攻撃者があなたのメッセージを読むことを管理している場合、署名からこの「秘密」番号を知ることはできません。 (これはデジタル署名の仕組みです:一方向です)。
しかし、これは識別の問題を解決しません。後者の場合、サーバーは誰が呼び出しを行っているかをどのように知っていますか?それはすべての単一のユーザーの "秘密"との署名を検証しようとする可能性がありますが、もちろんこれは非常に時間がかかるでしょう。
私たちは次のようにします:「キー」(ユーザーを識別する)と「秘密」番号(メッセージが正当であることを証明する)を使用して作成された署名の両方を送信します。サーバーは、キーに基づいてユーザーを検索し、そのユーザーの「秘密」番号を使用して署名を検証します。
これは、あなたが小切手を書くときのようなものです。あなたの身分を証明するための口座番号とあなたの身分証明書を持っています。アカウント番号だけを持っていても、実際に小切手を書いたことは証明されません。口座番号なしの署名だけであれば、銀行はすべての口座のすべての署名とあなたの小切手を比較することになりますが、これは明らかに非効率です。
+5
それはかなり説明的ですが、少し秘密の番号で署名することによって何を意味するのかについて少し混乱しますか? – OrangeRind
+2
http://en.wikipedia.org/wiki/Digital_signature、または実際の例についてはhttp://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.htmlを参照してください。基本的には、API「秘密」とAPIリクエスト自体(またはその最も重要な部分)の組み合わせのハッシュ関数を計算することが可能です。これが「署名」です。 –
+2
これは、すべての通信がHTTPSにあるときに別の秘密鍵が必要な理由を説明していません。 – opengrid
関連する問題
- 1. 2種類のタイプの強力なタイピングが必要な場合
- 2. なぜ分類ラベルがほとんどないのですか
- 3. 2 else文と2種類の$種類の場合
- 4. ストライプ:パブリッシュ可能なAPIキーとシークレットAPIキーの検証
- 5. ほとんどの場合、トラバーサル転送のみがなぜですか?
- 6. が必要ですクライアント側の検証で作業していない場合
- 7. APIにクライアントからの基本認証が必要な場合は、APIサーバーにCORSが必要です
- 8. OauthとAPIキーの認証タイプを使用する場合
- 9. 私の場合、トークン認証が必要ですか?
- 10. SafetyNet認証にapiキーが必要ですか?
- 11. Azure Pub/Subほとんどの作業
- 12. 私はどんな種類のものが必要ですか? (クロスプラットフォームのモバイルアプリ+ Google Cloud Vision API)
- 13. カスタムSTSがある場合、フェデレーション認証が必要ですか?もしそうなら、なぜですか?
- 14. OAuth 2では、認証コードがあるときにアクセストークンが必要なのはなぜですか?
- 15. 外部キーごとに1行だけが必要な場合SELECTで行われるSQLの削減作業
- 16. バックエンドにサードパーティ認証が必要なのはなぜですか?
- 17. 問題の解析(ほとんど)C#での往復の種類の日付
- 18. どのような種類のフラグ/許可の実装が必要ですか?
- 19. C#ポインタとは何ですか?また、どのような種類のタスクが必要ですか?
- 20. Facebookのアプリが動作するためにアプリのシークレットが必要ないのはなぜですか?
- 21. APIキー認証とユーザー認証のベストプラクティス
- 22. 認証が必要な場合にノードごとのルートを指定します。
- 23. SimpleCursorAdapterにはどのような種類のXMLが必要ですか?
- 24. ほとんどのプログラムをインストールするには何が必要ですか?
- 25. Google Data APIとの統合 - どの認証モデルですか?
- 26. ほとんどのデータがヒープになる場合、スタックメモリの重要性/役割は何ですか?
- 27. ページが見つかりません...ほとんどの場合
- 28. 2つのフィールドのどちらかが必要な場合に角2のカスタムバリデーターが必要です。
- 29. なぜSystem.Arrayのほとんどのメソッドは静的ですか?
- 30. FogBugzを統合すると、どのような種類のAPI /統合点がありますか?
どのような種類のAPIですか? –