Quali motivi ci sono per non solo inviare la chiave API come intestazione HTTP su HTTPS?

2

Recentemente ho faticato a usare la piattaforma Azure di Microsoft (che è stata una follia insondabile nel culo). Una delle prime cose che ho notato è come l'autenticazione sia stata inaspettatamente più difficile di quanto mi aspettassi. La maggior parte delle API Web che ho utilizzato inviano semplicemente alcune chiavi API nell'URL o come intestazione HTTP.

Ho avuto l'impressione che fino a quando avessi usato HTTPS (o una forma simile di comunicazione crittografata), sarebbe stato sufficiente (e questo era l'essenza di alcune domande simili, come questo ).

Tuttavia, Microsoft sembra volermi utilizzare un approccio di Active Directory molto complicato. Che vantaggio ha su una semplice chiave API?

    
posta Kat 08.10.2015 - 23:22
fonte

1 risposta

1

È perfettamente corretto inviare chiavi API come intestazione nella richiesta HTTPS, dal momento che viene eseguita la prima negoziazione SSL / TLS e quindi viene inviato il pacchetto con l'intestazione. Il primo pacchetto per negoziare SSL non contiene intestazioni diverse da quelle generiche specifiche del browser. Questo è sicuro e sicuro. AD tuttavia ha un po 'di potere dietro di esso, e in un ambiente di tutte le finestre è in realtà uno strumento elegante da usare.

Per quanto riguarda i vantaggi specifici? Vedi qui per un buon riepilogo.

Alcuni punti salienti:

Gestione dei trust: accesso a più domini (anche foreste) da un singolo annuncio

Gestione dei bambini: le modifiche all'AD portano tutti i bambini dell'AD

Gestione degli utenti: gli utenti nell'AD sono registrati, tenuti al corrente e mantenuti protetti attraverso l'AD, i loro domini e qualsiasi altra cosa presente nell'AD.

    
risposta data 09.10.2015 - 00:22
fonte

Leggi altre domande sui tag