3

現在CakePHPを使用して開発しているRESTAPIをどのように使用するかわからないので、認証を実装していません。これまで、認証はほぼ完了していました。

しかし、どうすればよいかわかりません。このAPIは、Webページとモバイルアプリが使用できるように公開されますが、基本認証またはダイジェスト認証(CakePHPのデフォルトオプションとして提供されます)がオプションであるとは思いません。 、

データベースからユーザー名とパスワードを確認し、すでに設定されているACLに従ってアクセス許可を付与する必要があることだけを知っています。私は、HMACについて何かを読んでいましたが、完全に理解していません。自分で認証方法を作成する必要があります。それはトークンをチェックするようなものですか?この記事は正しいですか?:http ://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/

もしそうなら、CakePHP認証メソッドにそれらの原則をどのように実装しますか?HMACを使用したこの認証メソッドのプラグインはありますか?

OAuth 2.0を使用する必要がありますか?ユーザー名とパスワードのログインにOAuth2.0を使用するのは理にかなっていますか?私も迷子ですか?私がそれほど失われていない場合は、cakephpでユーザー名とパスワードを使用してOAuthを実装する方法を説明してください。

誰か、お願いします、このインターウェブフォーラムをサーフィンしている人は、私を助けてください。例やワークフローなどを提供していただければ、何でもありがたいです。

4

1 に答える 1

0

どのくらいのセキュリティが必要ですか?APIは通常、キーを持つクライアントアプリからアクセスされるため、通常、すべての(https)リクエストと一緒にクレデンシャルを送信しても問題ありません(POSTパラメーターとして、暗号化されます)。少なくとも、これははるかに簡単な解決策です。セッションやトークンなどを使用せずに、リクエストごとに資格情報を確認するだけです。資格情報が有効な場合は、認証された「ユーザー」が要求されたリソースへのアクセスを許可されているかどうかを確認します。

より高度な認証/承認方法は、開発と管理においてすぐに複雑になることを忘れないでください。このようなシステムの実装経験がない場合は、実装のバグや問題によってセキュリティが向上する可能性を廃止している可能性があります。

于 2012-11-13T15:56:04.990 に答える