Solutions aux certificats client de service Web / auth les meilleures pratiques
https://stackoverflow.com/questions/1522368
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un service Web simple qui a une API aux développeurs tiers sont autorisés à accéder. L'API suit principalement les principes REST.
Je suis intéressé par des solutions pour rendre l'API plus sécurisée en demandant aux développeurs d'utiliser des certificats clients. Y at-il des solutions open source ou d'autres conseils de mise en œuvre d'entre vous avez cela aider à API basées sur REST en utilisant des certificats de niveau utilisateur pour auth?
La solution
Mon conseil générique serait de garder votre API séparée de vos routines d'authentification. Votre serveur web doit gérer l'interaction pour vous.
Solutions pour votre côté du scénario certificat de client dépendent de votre environnement. Vous avez pas posté ici, mais il semble une recherche Google ciblée devrait vous donner une idée de ce qui est nécessaire.
Puisque vous fournissez une API à d'autres parties, vous avez une certaine considération en ce qui concerne le soutien de l'environnement pour les développeurs. Vous faites bien avec une base de repos, et la plupart des environnements de programmation vont interopérer avec ceux plutôt bien.
Prise en charge du certificat client va probablement varier en termes d'efficacité de soutien dans les environnements, les plates-formes, etc. De plus, vous êtes maintenant une incidence sur la mise en œuvre côté client lorsque vous avez besoin de certificats. Cela vous mettra certainement en mesure de vous obliger à soutenir vos clients et de les lever et courir avec votre API. Cela signifie que la familiarité avec les autres langues, les serveurs Web, cadres, etc.
Autres conseils
La bibliothèque HTTP Python prend en charge les certificats clients , tout comme la urllib bibliothèque qui se trouve sur le dessus de celui-ci.
