Как лучше организовать аутентификацию для REST API?

Question

[webhunter]

1) Я так понял http basic это плохо, если не используется ssl, т.к. по сети пойдет пароль в открытом виде.

2) Также предлагают иногда передавать с каждым запросом хеш от (пароль + адрес ресурса + текущее время + временную дельту). в этом случае у меня три вопроса:
- зачем передавать эти временные метки, что сервер с ними делает?
- получается, пароли на сервере должны храниться в открытом виде, т.к. надо будет восстановить хэш. Правильно ли это?
- безопасен ли такой подход без ssl?

3) если используется ssl какой вариант аутентификации самый правильный?

Answer 1

[Алексей]

Передавать пароль в открытом виде без ssl плохо.
Если нет ssl - нужно подписывать запросы, отправлять хеш( пароль + адрес ресурса + передаваемые данные + уникальный id запроса)

Уникальным id может быть временная метка, id можно записывать или сверять с текущей временной меткой на сервере. Если id запроса повторяется или разница между временной меткой и текущим временем достаточно большая, запрос не обрабатывается. Смысл такой защиты в том, что в случае перехвата запроса злоумышленником, он не сможет выполнить этот запрос снова, даже если подпись(хеш) верна.
https://ru.wikipedia.org/wiki/Nonce

Ну и желательно использовать алгоритмы хеширования sha2

И лучше хранить и использовать не пароль, а генерировать случайный ключ с длиной > 32 и со спецсимволами.

Comments

[webhunter]

Спасибо.
Я правильно понял, что уникальный id запроса каждый раз генерируется клиентом, и после первого запроса сохраняется на сервере в какой-нибудь таблице лога запросов?
Соответствует ли это идеологии REST, ведь получается GET запросы будут менять состояние БД?

[Алексей]

webhunter: GET не должен менять именно состояние объекта, в бд можно менять всё, но только не состояние

Answer 2

[Назар Мокринский]

Смотря для какой цели, из вопроса не понятно.
Вообще можно использовать OAuth2 и токены (все популярные соц. сети и другие сервисы используют OAuth2 или, в отдельных уникальных случаях, OAuth1).
Всё что предполагает хранить пароли в открытом виде заранее неправильно.

Comments

[webhunter]

Спасибо.
OAuth 2 предполагает использование SSL на сервере или это не обязательно?

[Назар Мокринский]

webhunter: На сколько я помню обязательно только для аутентификации по паролю, но сами понимаете, что работать будет и так. Сертификаты сейчас бесплатные, подумайте реально ли это проблема для вас.