Webサービスクライアント証明書/認証ベストプラクティスのソリューション

Question

APIサードパーティの開発者がアクセスできるシンプルなWebサービスがあります。 APIは主にREST原則に従います。

開発者にクライアント証明書の使用を要求することにより、APIをより安全にするソリューションに興味があります。 AUTHのユーザーレベル証明書を使用して、休憩ベースのAPIを支援するオープンソースソリューションやその他の実装アドバイスはありますか？

Answer 1

私の一般的なアドバイスは、APIを認証ルーチンから分離することです。あなたのWebサーバーはあなたのための相互作用を処理する必要があります。

クライアントの認証シナリオの側のソリューションは、環境に依存しています。ここに投稿したことはありませんが、ターゲットを絞ったGoogle検索では、必要なもののアイデアが得られるはずです。

他の関係者にAPIを提供しているため、これらの開発者の環境サポートに関してある程度の考慮事項があります。あなたは休憩ベースでうまくやっています、そして、ほとんどのプログラミング環境はかなりうまく相互運用するつもりです。

クライアントの証明書サポートは、環境、プラットフォームなどのサポート効率の点で異なる可能性があります。さらに、証明書が必要な場合、クライアント側の実装に影響を与えることがあります。これにより、ほぼ確実に、顧客をサポートし、APIで顧客を育てて実行することを要求する立場になります。それは、他の言語、Webサーバー、フレームワークなどに精通していることを意味します。

Answer 2

Python HTTPライブラリがサポートしています クライアント証明書, 、その上にあるurllibライブラリと同様です。