Autenticazione in API Rest

0

Voglio implementare un meccanismo di sicurezza con il quale posso proteggere il mio RestApi dai "Clienti che non sono come pretendono di essere". Nel mio caso il consumatore di API per ora è un altro servizio web non browser. Ho letto numerosi articoli su come assicurare un riposo. Tutto ciò che dicono è usare i token Bearer, Auth0, JWT. Di solito tutte queste tecniche condividono un token / chiave crittografato qualunque esso sia, solo sulla richiesta di accesso, Su richieste successive, passeranno lo stesso token nelle intestazioni. Come posso convalidare un cliente se non ho nessuna richiesta di accesso.

    
posta Arpit Tripathi 04.05.2018 - 11:48
fonte

1 risposta

1

Basta dare loro il token manualmente. Che si tratti di JWT, di una coppia di chiavi pubblica / privata, di un segreto condiviso o di qualsiasi altra cosa, è possibile darlo manualmente a tutti i server in anticipo. Ricordo di aver codificato il segreto condiviso nel codice PHP, non che lo avrei raccomandato. Tuttavia, dovresti semplicemente avere un segreto, idealmente una chiave HMAC in un file sul server richiedente. Quindi utilizzalo per autenticare la tua richiesta, ad esempio utilizzando JWT con HMAC.

    
risposta data 04.05.2018 - 11:57
fonte

Leggi altre domande sui tag