中国纪检监察报数字报,湛江关键词优化平台,免费一键网站,济南推广公司有哪些我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑#xff0c;就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API#xff0c;然后服务器返回一个session ID,后续的操作客户端都必须带上这个sess… 我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API然后服务器返回一个session ID,后续的操作客户端都必须带上这个session ID但是这样的服务就变成了有状态了不符合REST风格的原则。另外由于负载均衡的存在必须有公共存储来保存用户的Session这也增加了系统的复杂度。 所以比较好的做法是每次都传递认证信息这样系统就是无状态的当然由于每次都需要认证必然降低了一些效率必要的时候要考虑缓存用户信息在服务器端。 有几点要注意 1.密码不能传播 一个比较低级的错误是通讯时由客户端传递用户名和密码到服务器端认证这样很容易被黑客攻击造成密码泄露。 标准的做法是使用HMAC(Hash-based Message Authentication Code),想法就是不传播password而传播content和password的混合hash值。我们来看看Amazon S3怎么做认证的。 Amazon对每一个用户有一个AWSAccessKeyId和一个AWSSecretAccessKey每次HTTP请求需要一个Id和一个Autherticantion信息。 比如 GET /photos/puppy.jpg HTTP/1.1
Host: johnsmith.s3.amazonaws.com
Date: Tue, 27 Mar 2007 19:36:42 0000 Authorization: AWS 0PN5J17HBGZHT7JJ3X82: xXjDGYUmKxnwqr5KXNPGldn5LbA
这个Authorization的头是这样产生的 其中YourSecretAccessKeyID用的就是AWSSecretAccessKey。
Authorization AWS AWSAccessKeyId : Signature;
Signature Base64( HMAC-SHA1( UTF-8-Encoding-Of( YourSecretAccessKeyID, StringToSign ) ) ); StringToSign HTTP-Verb \n
Content-MD5 \n
Content-Type \n
Date \n
CanonicalizedAmzHeaders
CanonicalizedResource; CanonicalizedResource [ / Bucket ]
HTTP-Request-URI, from the protocol name up to the query string
[ sub-resource, if present. For example ?acl, ?location, ?logging, or ?torrent];
CanonicalizedAmzHeaders described below 这样服务端就很容易根据用户信息来验证信息的正确与否。 验证信息的位置 验证信息可以放在HTTP HEADER里面也可以放在HTTP URL里面象这样 GET /photos/puppy.jpg?AWSAccessKeyId0PN5J17HBGZHT7JJ3X82Expires1141889120SignaturevjbyPxybdZaNmGa%2ByT272YEAiv4%3D HTTP/1.1
Host: johnsmith.s3.amazonaws.com
Date: Mon, 26 Mar 2007 19:37:58 0000 放在HTTP HEADER里面的好处是URL比较干净整洁适合放在internet与人分享而放在URL里面则有利于发布私有的访问权限给第三方。 如何防范重放攻击(Replay attack)? 理论上黑客可以窃取你的通讯报文然后重新发送来通过认证。有几种可能的solution. 客户端所以向服务器申请一个随机数然后这个随机数作为下次通讯的key一旦使用过后就立即失效也就是所谓的”一次一密”。这种方法的好处是很安全但是增加通讯量而且由于负载均衡的存在必须有公共存贮保存这个key。 b.服务器端保存使用过的authertication信息只要是使用过的就拒绝再次使用。这种方法不需要客户端支持但是需要公共空间来保持历史记录。 c.使用时间戳。做法就是认证信息中含有时间信息这样服务器端就可以拒绝时间相隔太长的请求认为其已经过期。这种做法需要服务器端和客户端有某种形式的时间同步。 4.要不要使用HTTPS? 如果安全度要求很高或者是针对internet的API无疑应该使用HTTPS来避免内容被窃取的可能。 如果只是在局域网范围或者可信赖的计算环境则使用HTTP来提高一点效率。
