HTTPサービス内での認証方法

Question

現在、ユーザーアカウント機能を備えたウェブサイトがありますが、一般的なタスク用のAPIを提供することで、ユーザーが他のデバイスやウェブサイトからアカウントを管理したり、他のデバイスやウェブサイトを通じてアクションを実行できるようにするAPIを提供する予定です。

は現在、ウェブサイトのログインはどのように我々は、APIでこの機能を提供する

などのセッションハイジャックを防ぐために、適切なセキュリティ対策とPHPのセッションを使用して、セキュリティのためにHTTPSを介して行われ、その後、管理されていますか？

POSTを実行せずにログインを送信する方法はありますか？ （おそらくGETはAPIコールを介してこれを行う唯一の方法です）。次のようなURLを入力していますか：https://www.example.com/login/user-foo@password=bar安全ですか？ URLが電信線を介して送信される前にhttps設定が行われますか？

私がそれを並べ替えることができれば、私はログインにアクセストークンを返すでしょう。最初の要求は、このトークンを含める必要があり、応答が....ように

うこの作品を、第2の要求で使用するために、新しいトークンを返すとすべきか？

Answer 1

あなたはbasic www-authenticationを使用することができます。それは基本的にusername + passwordを含むヘッダーです。これに関する良いことは、ステートレス（別のログインプロセスは必要ありません）であり、非常にうまくサポートされていることです。実装も非常に簡単です。 httpsを超えてサービスを提供する限り、セキュリティは問題ありません。

https://www.example.com/login/user-foo@password=barは安全ですか？

ログに記録される可能性があるため、URLに資格情報を入れるのは良いことではありません。

httpsの設定は、URLが電信線を介して送信される前に行われますか？

はい、httpsはhttpプロトコルの前に確立されています。悪意のある人が見ることができるのは、エンドポイントのIPアドレスだけです。

Answer 2

SSLでSOAPを使用することを考えましたか？理論的には、SOAPを介してユーザーを認証できる必要があります。

Answer 3

OAuthなどの標準を使用しますか？許可すると、ユーザーは認証されたトークンを望みどおりに保持できます。

また、何かGETリクエストが来たときにログインにリダイレクトすることができます。たとえば、任意のサイトがURLにリンクしてadd a tweetにTwitterすることができます。ログインしていない場合、Twitterは最初にログインページにリダイレクトします。参照サイトはTwitterのユーザー名を知る必要はありません。

（とはい：URLが送信される前に、HTTPSは、サーバーのIPアドレスに基づいて、確立されている。）

Answer 4

REST APIで認証を実行するには、発信者がヘッダーを設定する必要があります。すなわち、彼らはあなたが読んで認証するために使用する「X-YourApp-API-Key」ヘッダを設定する。これにより、POSTメソッドやGETメソッドだけでなく、PUT、HEAD、DELETEなどの認証を行うことができ、RESTメソッドを完全に補完することができます。

すべての通話がHTTPS経由であれば、これだけで問題ありません。 HTTPSを介して認証し、通常のHTTP経由で後続の呼び出しを行う場合は、OAuthのように動作するものを実装し、クリアな要求のトークンを発行する必要があります。