4

この質問に対する学術的な回答は数多くありますが、この分野の実務家からの回答を希望します。

バックグラウンド

サービスを通じて保護されたリソースにアクセスするために、さまざまなモバイル クライアント (iOS および Android) 用の Grails フレームワークを使用して、Java ベースの RESTful API を作成したいと考えています。特定のリクエストで認証が必要で、ネットワーク上ですでに SSL をセットアップしています (したがって、すべてのリクエストは https 経由で行われます)。私の Web API は、最終的に他の Web アプリケーションへのサービスとして公開されます。

問題

モバイル デバイス、そして最終的には他の Web アプリケーションによって消費される Web サービスに対して、人々はどのような認証方法を推奨していますか?

これらは私が私の選択として見ているものです。それぞれの適切な使用例を教えてください。

  1. HTTP Basic認証ができる
  2. HTTPダイジェスト認証ができる
  3. OAuth 認証 (1.0 または 2.0) を実装できますか?
  4. リクエストで資格情報をパラメーターとして渡すことができます
  5. 上記の認証方法を使用して、認証のためにデリゲート/トークンを渡すことができます
  6. 独自のカスタム HTTP 認証ヘッダーを実装できます
  7. Cookie を使用して、リクエストごとにそれらをサーバーに渡すことができます
  8. 他の...?

必要

いずれかの方法に傾いている場合は、その方法を選択する理由を知りたい. さらに良いことに、これを Grails で行っているのであれば、私は非常に興味があります。

もう知っている...

ここでの優れた回答と、Richardson と Ruby の著書Restful Web Servicesを既に読んでいます。

4

1 に答える 1

1

REST はステートレス プロトコルであるため、「作業セッション」を使用します。ログイン/作業/(自動) ログアウトの概念にはやや疑問があります。各リクエストで資格情報をパラメーターとして送信する方法は、その単純さから最もよく使用される方法のようです。心に留めておいてください

1) API URL は SSL のみである必要があります。専用のドメインと IP アドレス (例: api.example.com) を使用し、このアドレスとドメインに対してのみ SSL を処理するように Web サーバーを構成することは理にかなっています。資格情報の偶発的な開示を避けるためです。

2) 可能であれば、リクエストでログイン/パスワードを使用しないでください。代わりに「API キー」(共有シークレット) を使用してください。認証だけが必要な場合は、ログイン/パスワードの代わりに常に「APIキー」を使用できます。つまり、承認は必要なく(すべてのユーザーが同じ権限を共有します)、ログ(誰が何をしたか)も必要ありません。

3) リクエストごとに API キーを送信するよりも、共有シークレットを使用してリクエストに「署名」し、署名を提供することをお勧めします。十分な長さのキーを使用すると、暗号化されていない単純な http でこの手法を使用できます。

=== コメントへの返信 ===

認証が必要な場合は、基本認証を使用してください。

HTTPBuilder builder = new HTTPBuilder("https://api.example.com/v1/foo/bar")
builder.auth.basic(login, password)
builder.headers.put('Accept', 'application/json')
def result = builder.request(POST, JSON) { req ->
     body = [
                ....
            ]

     response.'201' = { resp, json ->
                ....
     }

     response.success = { resp, json ->
                ....
     }

     response.failure = { resp ->
                log.error "failure, ${resp.statusLine}"
     }
}
于 2012-12-18T15:29:08.673 に答える