私はこれまで、いくつかのコンパニオンアプリケーションのために内部的に開発したWebアプリケーション用のREST APIを開発しています。外部の開発者に公開することを検討しているところで、誰が要求を行っているのかを識別し、一般的にはその使用を管理するのを助けるために、APIにトークンを追加する必要があります。現時点では、APIのユーザー認証にhttpsと基本認証を使用しています。ウェブAPIトークン方式の良いアプローチですか?
私たちが議論してきたトークンスキームは、各開発者に1つ以上のトークンが割り当てられ、これらのトークンが各要求とともにパラメータとして渡される非常に簡単なものです。
どのようにしてやったか(多かれ少なかれやっていましたか、セキュリティなどをどうやってやったのですか)、何かお勧めしますか?
ありがとうございます!
興味のある方は、ここからOAuthなしの安全なREST APIに移行する方法についての記事を書きました:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without- oauth-authentication/ この問題は、攻撃ベクトルとユーザーを偽装する人物を閉鎖することで問題が識別(一意のトークンなど)された問題ではありません。チェックサムまたは "HMAC"が必要なHTTP経由 - 要求のすべての値に、クライアントとサーバーだけが知っている秘密鍵で署名します。 HTTPS上では、はるかに簡単です、単純なトークンは正常に動作します。 –