Was ist OAuth und wie funktioniert secure REST API-Aufrufe?

Habe ich die mobile Anwendung-REST-API-Aufrufe, die zuvor auf meinem server ohne token oder security mechanisam.

Will ich sichere meine API-Aufrufe. Ich versuche zu verstehen, was ist OAuth und wie es sicher meine Handy-app-REST-API-Aufrufe die auf meinem server?

Ich möchte auch wissen, in details über die unten Felder, die verwendet werden, in OAuth . Von wo komme ich unter Feldern.

Consumer Key
Consumer Secret
Token
Token Secret
Timestamp
Nonce
  • Lesen Sie die oauth-Spezifikation.
  • Ich lese es, aber ich habe nicht bekommen, dass ist der Grund, warum ich die Frage hier gepostet....
  • kann u teilen Sie die Verbindung mit mir, für oauth und wie diese umgesetzt werden können, in der mobilen app zu sichern-api??
InformationsquelleAutor Sanjay Salunkhe | 2016-06-07
  1. 22

    Da die meisten Anbieter die Verwendung von OAuth 2.0 und OAuth 1.0 ist veraltet, die von großen Anbietern, werde ich erklären, OAuth2.0

    Was ist OAuth?

    OAuth ist ein offener standard für die Autorisierung, Häufig verwendet, als eine Möglichkeit für Internet-Benutzer zu Drittanbieter-websites mit Ihrem Microsoft, Google, Facebook, Twitter, Ein Netzwerk, etc. Konten, ohne dass Ihre Passwort.

    können Sie implementieren Ihre eigenen OAuth-server, hier werde ich erklären, über social-auth. also der Begriff OAuth hier nach und bezieht sich auf social-auth mit OAuth.

    In juristischer Hinsicht, OAuth ermöglicht Benutzern die Anmeldung zu Ihrem web-service accounts(Facebook, Google etc.).

    Terminologie:

    • client: Der Benutzer der API.
    • Resource Owner (api-server): Ihre API
    • Authorization Server (auth-server): Facebook/Google etc auth-server.
    • Genehmigung erteilen: die Methode, durch die Sie autorisieren eines Benutzers. wir sind mit Autorisierungs-code hier.
    • Authorization-code: Ein code, den der auth-server zurück an den client ausgetauscht werden können für ein access token an den api-server.
    • Access Token: Einer Zeichenfolge zur Identifizierung eines Benutzers, kommt in der Regel mit einer Frist.
    • Consumer-Key oder APP_ID: einen öffentlichen Schlüssel, mit dem auth-server zu identifizieren, Ihre Anwendung.
    • Consumer-Secret oder APP_SECRET: einen privaten Schlüssel, die vertraulich behandelt werden sollte.

    den folgenden Bedingungen nichts zu tun hat mit OAuth verwendet aber mit OAuth um es sicherer zu machen.

    • Zeitstempel: eine Zeichenfolge, die sagt Datum und Zeit.
    • Nonce: eine Zahl oder Zeichenfolge, die können nur einmal verwendet werden.

    Was ist OAuth und wie funktioniert secure REST API-Aufrufe?

    Quelle: http://smerity.com/

    Ich erkläre das Diagramm mit Facebook-login-Daten als ein Beispiel.

    hintergrund.
    betrachten Sie getan haben, die unten, bevor wir das Diagramm.

    1. Sie registrieren eine app mit der Facebook-Entwickler-portal.
    2. Facebook bietet Ihnen zwei codes, 1) ein secret_key und 2) eine app_id
    3. Sie für eine Schaltfläche, die sagt Login with Facebook.

    nun das Diagramm.

    1. Client-Anforderungen der API-server.
    2. API-server leitet auf die login-Seite sagen. To access the data: please login with facebook to access the page
    3. Benutzer klickt auf den login with Facbook klicken, wird ein neues popup - OAuth dialog öffnet. Fragen für die facebook-Benutzernamen und Passwort.
    4. Benutzer gibt seinen Benutzernamen und Passwort, die Zugriff auf die app. auth server leitet den Benutzer auf Ihre website mit einem code als parameter in der URL.
    5. API-Server wird aufgerufen, auf dem Schritt 4, API-server erfasst-code aus der URL.
    6. API-server nennen auth server mit den mitgelieferten client_secret
    7. Auth server zurück zum access token für den Benutzer der API-Server.
    8. API-server fragt auth server für den Benutzer Informationen für den gegebenen access token.
    9. Auth Server gibt details über die Benutzer -, Profil-Foto, E-Mail etc.
    10. API-server identifiziert den Benutzer, sendet ihm die Antwort zusammen mit access-token.
    11. client sendet das token für den Zugriff auf die api-server auf die nächste Anfrage.
    12. API-server überprüft, ob die access-token gültig ist und zu reagieren.
    13. Wenn access token abgelaufen ist, client, wird gebeten, sich wieder einzuloggen.

    Nun, Wie funktioniert das sichern Sie Ihre api?

    Machen die Portionen, die Sicherheit benötigen als login erforderlich, um auf Sie zuzugreifen. wenn der client, der die Anfrage ist nicht angemeldet, um Ihre api, schicken Sie ihn zu Schritt 2 des Diagramm.

    So was nonce? timestamp?

    Wenn jemand stehlen einen access-token, kann er sich Zugang zu API-server solange das access-token abläuft. So, wenn der Benutzer fordert eine Seite, der server sendet ihn zurück, eine nonce, die auf dem server gespeichert. der Kunde unterzeichnet den Antrag mit die empfangene nonce und die Anforderung abzuschließen. da die nonce, die nur einmal verwendet werden, sind server löscht die nonce. wenn ein Angreifer schnappt sich den nonce und eine gefälschte Anfrage an den server,der server lehnt die Anfrage, wie die eine Zeit, die Nummer ungültig ist, wie seine bereits.

    TimeStamp verwendet wird, identifizieren Sie die Zeit, die der token oder die nonce erzeugt, welche verwendet wird, verfallen die token oder die nonce, die in einem begrenzten Zeitraum (1-2seconds), die benötigte Zeit für eine Anfrage zu vervollständigen.

    • Ich habe eine Frage zu diesem Ansatz im Hinblick auf die Sicherheit. Wenn die code von Facebook wird an die URL als parameter, kann nicht einige bösartigen code zu erfassen, und verwenden, um sich selbst zu authentifizieren, als jemand anderes?
    • Wer kann den Zugang zu den Netzwerk-Pakete und Protokolle können erfassen Sie den code, so dass die Verwendung von HTTPS. Da der code generiert wird für einen bestimmten Benutzer für eine bestimmte app (unsere app), der code kann nicht verwendet werden, zu authentifizieren, alle anderen Benutzer zu einer anderen app, das ist, wo das Geheimnis App-Anmeldeinformationen verwendet werden. Facebook Interna 😉
    • Ist möglich, kann ich mit der REST-API ohne oAuth?
    • wenn ich mich mit einer REST-API, die verbraucht wird, nur durch meine frontend-clients(browser und mobile), und keine Drittanbieter-apps beteiligt. Ist der OAuth2.0 das richtige Werkzeug? Ich weiß, Aus-und Basic-Authentifizierung ist es. Aber ist Social login der einzige Anwendungsfall der OAuth2.0?
    InformationsquelleAutor All Іѕ Vаиітy
Schreibe einen Kommentar