1032680
Melhores Práticas API REST - Autenticação
- Truques para buscas
- Exemplos
- Busca Global: /search?q=fluffy+fur
- Busca com escopo: /owners/5678/dogs?q=fluffy+fur
- Busca com resultados formatados: /search.xml?q=fluffy+fur
- Busca Global: /search?q=fluffy+fur
- Exemplos
- Exemplos de serviços de autenticação utilizados
- PayPal Permissions Service API
- Facebook OAuth 2.0
- Twitter OAuth 1.0a
- PayPal Permissions Service API
- Toda chamada REST deve ser executada usando ssl (https), pois evita ataques do tipo man in the midle
- Toda chamada deve ocorrer com chaves de API dedicadas
- Todas chamadas REST devem ser autenticadas
- Tipos de autenticação
- Http Básica
(Authtype basic)
- Utiliza a autenticação do apache, onde é
configurado 'basic' e com utilização de arquivo
de senha ou senhas gerenciadas pela aplicação
- Vantagens
- Está disponível desde o Http 1.0
- Api mantém apenas hashes
- Está disponível desde o Http 1.0
- Desvantagens
- Depende da configuração do webserver
- Nome do usuário e senha
são transmitidos via base64
- Depende da configuração do webserver
- Utiliza a autenticação do apache, onde é
configurado 'basic' e com utilização de arquivo
de senha ou senhas gerenciadas pela aplicação
- Autenticação de resumo
(AuthType digest)
- Possui 2
elementos a
mais do que a
básica
- NONCE: string passada pela api para
o cliente que deve ser enviada junto à
requisição
- Geração do NONCE = MD5(TIMESTAMP:METHOD(GET):URI:PKEY)
- Geração do NONCE = MD5(TIMESTAMP:METHOD(GET):URI:PKEY)
- qop: verificador de qualidade de proteção
- NONCE: string passada pela api para
o cliente que deve ser enviada junto à
requisição
- Vantagens
- Senhas protegidas, utiliza troca de hash
- Http 1.0
- Utiliza NONCE e CNONCE, estes
protegem contra ataques de ataque
repetido, pois possui sincronismo
entre api/cliente e também contra
inserção de textos manipulados
- Senhas protegidas, utiliza troca de hash
- Desvantagens
- Complexidade maior que a básica
- Toda requisição deve passar
pelo desafio (duplica cada
requisição)
- Vulnerável a apis forjadas
- Complexidade maior que a básica
- Possui 2
elementos a
mais do que a
básica
- Token de Usuário (WSSE)
- É uma extensão do SOAP
- Todo processo de autenticação é feito pela aplicação
- Desafio de autenticação contém:
- Defino o tipo WSSE
- Especifica o perfil e regras
- Defino o tipo WSSE
- Desvantagens
- API mantém cópia da senha
- Desconsidera método, URI, conteúdo, etc
- Vulnerável à intercepções
- API mantém cópia da senha
- Vantagens
- Não envia senha pelo meio
- Não requer configuração do servidor
- Identifica servidor, evitando apis
forjadas (outras API fingindo ser a sua)
- Não envia senha pelo meio
- É uma extensão do SOAP
- Assinatura de Requisição Personalizada
- Utiliza Hmac com md5 e sha1
- Utiliza chaves simétricas
- Utilizar NONCE
- A chave pode ser transferida
no login ou no momento do
cadastro
- Políticas de segurança das
chaves, revogadas, alteradas
- Vatagens
- Servidor identificável
- Senhas seguras
- Requisições indiretas
- Servidor identificável
- Desvantagens
- Pode se tornar complexo
- Pode desagradar o desempenho
- Depende do suporte às bibliotecas
- Pode se tornar complexo
- Utiliza Hmac com md5 e sha1
- OAuth
- É utilizado pelo Facebook, Twitter, Github
- É utilizado pelo Facebook, Twitter, Github
- Autenticação do Windows
- Depende dos protocolos suportados pelo Windows
- É seguro mesmo sem utilizar ssl (https)
- Requer os serviços e produtos da Microsoft (Active Directory)
- Depende dos protocolos suportados pelo Windows
- Http Básica
(Authtype basic)
- A autenticação funciona como um selo de autenticidade que é enviado jungo com cada chamada
- A API não utiliza sessão
- O cliente consumidor de uma api não precisa utilizar cookies
- Armazenamento no cliente consumidor da api
- WebStorage -> Armazenar o estado da aplicação no cliente
- SessionStorage -> Armazenar o estado de uma aplicação em uma
página e o mesmo estado para outra página
- LocalStorage -> manter informação de uma dia por
outro (muito tempo)
- WebStorage -> Armazenar o estado da aplicação no cliente
- Cada requisição em uma API REST deve ter os dados para autenticá-la
Media attachments
Want to create your own Mind Maps for free with GoConqr? Learn more.