Sto implementando una API web in stile REST (nota: deve essere più pragmatica di quella canonica) e vorrei garantirla. Il linguaggio che sto usando è piuttosto nuovo e non ha molti moduli di sicurezza pre-made di alta qualità come, ad esempio, Rails 'Devise, e quindi devo girare il mio. Penso anche che questa sia un'ottima opportunità di apprendimento, quindi perché no.
Gli scenari di base di cui ho bisogno per lavorare sono:
- accesso protetto attraverso il web
- accedi per utenti mobili utilizzando la stessa API
- ACL basati su chi è l'utente
Non avendo mai implementato nessuno dei precedenti a mano, non conosco le migliori pratiche. Purtroppo non sono riuscito a trovare alcuna buona risorsa che avrebbe tutorial / guide su come alcune di queste forme di base della sicurezza web sono implementate.
Ad esempio, quale è un buon esempio di autenticazione basata su cookie, cosa memorizzi nel token rimasto nel browser dell'utente ecc. ecc. Non ho scoperto nulla di solido attraverso Google, sorprendente dato che deve essere una delle implementazioni più comuni per la maggior parte dei siti web.
Consigli?
Grazie!