Lösungen für Webdienst -Client -Zertifikate/Auth Best Practices

Question

Ich habe einen einfachen Webdienst, der einen API -Drittanbieter -Entwickler hat. Die API folgt hauptsächlich den REST -Prinzipien.

Ich bin an Lösungen interessiert, um die API sicherer zu machen, indem Entwickler Kundenzertifikate verwenden müssen. Gibt es Open -Source -Lösungen oder andere Implementierungsberatungen, die einer von Ihnen haben, die bei der Verwendung von APIs auf ruhbasierten APIs mithilfe von Benutzerebene für Auth die Möglichkeit haben?

Answer 1

Mein generischer Rat wäre, Ihre API von Ihren Authentifizierungsroutinen getrennt zu halten. Ihr Webserver sollte die Interaktion für Sie verarbeiten.

Lösungen für Ihre Seite des Kunden-Zertifikat-Szenarios hängen von Ihrer Umgebung ab. Sie haben das hier nicht gepostet, aber es scheint, dass eine gezielte Google -Suche Ihnen eine Vorstellung davon geben sollte, was notwendig ist.

Da Sie anderen Parteien eine API zur Verfügung stellen, haben Sie einige Überlegungen zur Unterstützung der Umwelt für diese Entwickler. Sie machen sich gut mit Ruhe und die meisten Programmierumgebungen werden mit diesen ziemlich gut zusammenarbeiten.

Die Unterstützung des Client-Zertifikats variiert wahrscheinlich in Bezug auf die Support-Effizienz zwischen Umgebungen, Plattformen usw. Darüber hinaus beeinflussen Sie jetzt die Client-Side-Implementierung, wenn Sie Zertifikate benötigen. Dies wird Sie mit ziemlicher Sicherheit in die Lage versetzen, Ihre Kunden zu unterstützen und sie mit Ihrer API zum Laufen zu bringen. Das bedeutet Vertrautheit mit anderen Sprachen, Webservern, Frameworks usw.

Answer 2

Die Python HTTP -Bibliothek unterstützt Kundenzertifikate, ebenso wie die Urllib -Bibliothek, die sich darüber befindet.