Protezione dell'API REST a cui si accede da diversi client

2

Ho sviluppato un'API REST / JSON. L'API espone molte funzionalità. L'API verrà utilizzata dalle applicazioni che progettiamo internamente (app mobili e app Web), dalle applicazioni progettate dai nostri rivenditori e dalle applicazioni progettate dalle aziende. Sto cercando di proteggere l'applicazione implementando l'autenticazione e l'autorizzazione. Ho "cercato su Google" molto ma la mia ricerca mi ha lasciato più domande che risposte.

  1. La nostra applicazione interna verrà utilizzata dagli utenti finali registrati nell'applicazione. In sostanza, la nostra applicazione è solo un client che richiede l'utente finale, portandolo all'API REST e recuperando i dati per l'utente finale. La nostra applicazione interna dovrebbe essere in grado di eseguire tutte le operazioni esposte dall'API REST. Qual è il modo migliore per gestire l'accesso utente nella nostra applicazione interna? HTTP Basic su SSL o OAuth?

  2. Le nostre applicazioni per rivenditori possono creare utenti come se fossero proprietari degli utenti, ma alla fine i dettagli dell'utente vengono memorizzati nel nostro database. L'applicazione per rivenditori agirà semplicemente come un client che richiede l'utente e recupera i dati dell'utente. Le nostre applicazioni per rivenditori dovrebbero essere limitate solo ad alcune operazioni dell'API REST. Quale meccanismo di sicurezza utilizzerò per implementare questo tipo di autorizzazione e accesso utente?

Spero che la mia domanda sia chiara. Grazie per l'aiuto.

    
posta Akinkunle Allen 11.06.2014 - 03:51
fonte

1 risposta

1

Supponendo che la tua applicazione sia un'applicazione web, OAuth2 fornirà la migliore esperienza utente. HTTP Basic Auth non è una grande esperienza utente.

Puoi anche consentire ai tuoi rivenditori di utilizzare l'autenticazione OAuth2, modificando la pagina OAuth, avvolgendola o altre tecniche. L'applicazione per rivenditori potrebbe essere limitata negli ambiti disponibili e quindi è possibile limitare le operazioni disponibili per le app del rivenditore.

    
risposta data 11.06.2014 - 05:45
fonte

Leggi altre domande sui tag