我们正在构建需要所有页面的登录信息的系统。该应用程序被设计为使用codeigniter作为 Phil Sturgeon 库的Restful应用程序。此库仅使用API密钥通过HTTPS连接的每个请求发送api调用来授权api调用。
即使它使用2路认证或仅使用API密钥。我正在寻找的是以下场景:
服务器检查信息是否有效,然后:
API KEY应由服务器提供给客户端,作为此用户名标识的资源(这是问题??? !!! )
如何以安全的方式将API密钥发送到客户端?
如果你能给出一个例子,那将是一个很大的帮助,因为我找到并阅读了很多文章
:)
答案 0 :(得分:8)
由于连接是HTTPS,因此您通过网络发送的任何内容都是安全的(从理论上讲,如果您不是mitm'd)。不确定整个API是否通过HTTPS提供(您没有指定),因此即使您可以将密钥作为登录的一部分返回(仍然在HTTPS的保护下),如果其余的api不是HTTPS,可以在下一个请求中嗅探密钥。
会话和cookie通常不是RESTful应用程序的一部分; REST是无状态的。
像非循环密钥这样的东西对于非HTTPS更好(也适用于HTTPS)。您通过HTTPS登录,服务器返回api密钥,您在下一个请求中使用它,服务器返回新的api密钥,您在下一个请求时使用它,依此类推。虽然它比单个api密钥优于非HTTPS,但它并不完美。如果有人从后续请求之一中嗅到响应,并且您最终没有使用该密钥,则可以使用它。这会将攻击向量缩小为从服务器到客户端的非HTTPS响应,因为如果从客户端到服务器的请求被嗅探,则api密钥将已被您的合法请求使用。但是,如果您没有通过HTTPS提供api,则应该采取更多措施来保护API。
如果是我,我会查看请求签名+ https。在这里有一些关于请求签名的讨论:https://stackoverflow.com/a/8567909/183254
还有http://net.tutsplus.com/tutorials/php/working-with-restful-services-in-codeigniter-2/
保护API 部分的摘要身份验证信息客户端上的伪代码示例js函数
function get_calendar(){
var key = $('#api_key').value();
$.ajax({
type: 'get',
url: '/index.php/api/calendar?key=' + key,
success: function(response){
// show calendar
// ...
// set received api key in hidden field with id api_key
$('#api_key').value(response.api_key)
}
})
}
控制器方法示例:
function calendar_get($api_key = ''){
if($api_key_matches){//verify incoming api key
$r = array();
$r['calendar'] = $this->some_model->get_calendar();
$r['api_key'] = $this->_generate_api_key();// generate or get api key
}
$this->response($r);
}