Задать вопрос

Безопасность запросов со сторонних сервисов

Заголовок, наверное, не совсем отражает суть моего ступора. А проблема вот в чём: начал я делать web-движок, основанный на API. И всё бы хорошо, но подошёл тот момент, когда требуется работа с API другим сервисам(непроверенным). Проблема в том, что, авторизировавшись на стороннем сервисе, пользователь окажется в опасности, т.к. соронний сервис сможет выполнить любые действия от пользователя. Знаю, что есть OAuth и тому подобные, но хотелось бы самому сделать таковую систему. Не подскажите, где прочитать?
  • Вопрос задан
  • 2909 просмотров
Подписаться 3 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 4
@mayorovp
Сервис должен делать запрос вида api.****.su/?token=***&method=***&data=***, авторизация — по токену. Другому сервису достается только токен, логин и пароль вводятся на стороне вашего сайта.

Подробнее все написано в протоколе OAuth — он решает именно эту задачу.
Ответ написан
@betal
Пусть он у вас авторизуется, а стороннему серверу либо подписывайте данные, либо передавайте по закрытому каналу.
Ответ написан
@rozhik
Берите OAuth 2 legged. Очень простое решение на базе preshared key (общего пароля). Есть библиотеки как для клиента так и для сервера. У меня pure-php код (без использования каких-либо) библиотек не весил и 10 килобайт.
Ответ написан
Комментировать
SkiF_TLT
@SkiF_TLT
api.****.su/?method=login.login&data={«email»:"****",«password»:"******"}&sid=SID12345


http и открытый пароль в GET? О какой безопасности тут вообще может идти речь?

А в целом мой совет — послушайте людей, воспользуйтесь готовыми решениями и не изобретайте велосипед. Особенно когда для его изобретения требуются знания в области безопасного взаимодействия между различными сервисами.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы