저는 지금까지 우리가 몇 가지 동반 응용 프로그램을 위해 내부적으로 개발 한 웹 응용 프로그램 용 REST API를 개발 중입니다. 이제 외부 개발자에게 공개하기 위해 요청을 작성한 사람을 식별하고 일반적으로 요청을 관리하는 데 도움이되도록 API에 토큰을 추가하려고합니다. 이 시점에서 API에 대한 사용자 인증을 위해 https 및 기본 인증을 사용하고 있습니다.웹 API 토큰 체계에 대한 좋은 접근 방법은 무엇입니까?
우리가 논의한 토큰 체계는 각 개발자가 하나 이상의 토큰을 할당 받고 이러한 토큰이 각 요청과 함께 매개 변수로 전달되는 매우 간단합니다.
제 질문은 당신이 이전에 어떻게했는지 (당신은 당신이 많든 적든, 보안을 어떻게 처리했는지 등) 비슷한 것을했는지, 그리고 권장 사항이 있습니까?
감사합니다.
관심있는 모든 분들께, OAuth가없는 안전한 REST API로 이동하는 방법에 대한 기사를 작성했습니다. http://www.thebuzzmedia.com/designing-a-secure-rest-api-without- oauth-authentication/ 문제는 공격 벡터 및 사용자를 가장 한 사용자를 식별하는 데 문제가 있습니다 (고유 토큰 등). 체크섬 또는 "HMAC"가 필요한 HTTP를 통해 - 클라이언트와 서버 만 알고있는 비밀 키로 요청의 모든 값에 서명합니다. HTTPS를 통해 훨씬 쉽게, 간단한 토큰이 잘 작동합니다. –