Scopo per "Token One Time Use"

Naviga le tue risposte
4

Sto collegando un ORG Salesforce con un fornitore di terze parti tramite un'API personalizzata (in pratica l'hanno scritto solo per noi). L'API richiede di recuperare un "token" che si passa ad altre chiamate tramite autorizzazione BASIC.

Stavo memorizzando nella cache questo token ma si sarebbe verificato un errore durante la seconda volta che ho provato ad usarlo. A quanto pare, questo token può essere trasmesso solo in una chiamata API UNA VOLTA . La prossima chiamata API deve recuperare il proprio token. In pratica, ciò comporta due chiamate API per ogni operazione API. Salesforce limita il numero di callout che puoi fare per contesto di esecuzione, quindi non è proprio l'ideale.

Mi chiedo se ci sia qualche motivo logico per farlo in questo modo? Non solo l'autorizzazione BASIC in ogni operazione sarebbe altrettanto sicura (o non sicura)?

    
posta NSjonas 14.05.2015 - 19:17
fonte

1 risposta

2

In genere, i token di utilizzo una tantum vengono utilizzati per mitigare gli attacchi di riproduzione e per rendere più difficile il furto delle informazioni di autenticazione. Hanno altri usi nella progettazione del protocollo per sistemi multi-tentanti e multi-utente. Ho intenzione di assumere che quelli non si applicano perché hai detto che questa era un'API personalizzata creata appositamente per te.

Se si sta chiamando l'API sul Web utilizzando SSL / TLS, TLS / SSL fornisce già attenuazione contro la riproduzione. Fornisce anche la crittografia per aiutare a mitigare qualcuno che ruba le tue informazioni di autenticazione. Direi che hanno sovrascritto la sicurezza nell'API. Tuttavia la vera sicurezza riguarda i livelli e l'aggiunta di un altro livello lo rende più sicuro. Quanto più sicuro rispetto al costo della seconda chiamata è discutibile. Si potrebbe suggerire di emettere un token a tempo limitato rispetto a un token una tantum.

Detto questo, non vi è alcun limite al numero di callout Apex di Salesforce. C'è solo un limite al numero di callout per transazione. Vedi qui e qui

    
risposta data 14.05.2015 - 21:04
fonte

Leggi altre domande sui tag

/ dev / random nel cloud EC2 Differenza tra periodo di validità della chiave pubblica e della chiave privata