HTTPSを超えるクライアントとサーバー間の双方向通信チャネルを実装したいと考えています。クライアントはhttp://example.com/method/param1/param2などのURLを使用して通信し、サーバーはJSONで応答します。JSONレスポンスのURLを使用したクライアント/サーバーでの認証
これをPHPに実装したいと思います。しかし、私は認証でこれを行う方法がわかりません。
私は単にログインとパスワードでユーザーを認証し、キーを返すことができます。ユーザーは、この一時的なキーを使用して通信することができます。キーは一定期間後に失効します。しかし、これが業界標準であるかどうかを知りたいですか?
私は標準が存在しないと思いますが、OWASPはセッションベースの認証を提案しています。ユーザーがユーザーとパスワード、またはapikeyとトークンを使用してAPIを使用できる理由をユーザーが認証したときにトークンを送信します。ユーザーパスワードとapikeyはURLに表示されません。
参考:https://www.owasp.org/index.php/REST_Security_Cheat_Sheet
認証とセッション管理
RESTful Webサービスは、 POSTを経由してセッショントークンを確立することによって、または としてAPIキーを使用するか、セッションベースの認証を使用する必要がありますPOSTボディ引数またはクッキーユーザー名、パスワード、セッション トークン、およびAPIキーはURLに表示されないようにしてください。 がウェブサーバーのログに記録されるため、本質的に価値があります。
OK: https://example.com/resourceCollection/ /actionhttps://twitter.com/vanderaj/lists
ないでOK?:? https://example.com/controller/ /アクションAPIKEY = a53f435643de32(API URLでキー) http://example.com/controller/ /アクションAPIKEY = a53f435643de32 (TLSによって保護されていないトランザクション、URLのAPIキー)