Как защитить REST API для мобильных приложений?

Question

Я пытаюсь добавить REST-интерфейс в Django для мобильного клиента. Мобильный клиент будет использовать JSON поверх HTTPS. Я не смог найти «лучший» способ сделать это для мобильных устройств. Из поиска вокруг, кажется, что # 2 более благоприятен для # 1:

1. Используйте HTTP-аутентификацию и установите сеанс на основе файлов cookie. Все транзакции будут выполняться по HTTP, а сообщения JSON будут содержать только команды или данные.
2. Передайте имя пользователя и пароль (зашифрованные) в каждом сообщении JSON для всех транзакций и не полагайтесь на сеансы на основе файлов cookie.

Answer 1

Я бы порекомендовал сначала отправить имя пользователя / пароль при входе в систему. JSON передаст обратно authToken или accessToken, который мобильное устройство отправит обратно для всех последующих вызовов. Затем вы проверите, чтобы убедиться, что authToken действителен. Это подход многих API. В своей базе данных они свяжут ключ API с учетной записью пользователя, с которой они вошли.

Answer 2

OAuth является излишним, если вы не хотите предоставлять эти услуги другим разработчикам (к которым они будут обращаться от имени ваших конечных пользователей). Лучше использовать вариант 2, но я бы рекомендовал использовать дайджест-аутентификацию, а не парольную аутентификацию. Объедините это с SSL, и вы определенно готовы к работе.

Answer 3

Номер 2 предпочтительнее, и вместо того, чтобы бросать свой собственный, я бы рекомендовал использовать OAuth-аутентификацию, если это возможно.И клиентские, и серверные библиотеки теперь легко доступны для использования на большинстве платформ.Проверьте http://oauth.net для деталей.

Answer 4

До тех пор, пока вы используете реальное шифрование, а не base64 или какой-то собственный алгоритм запутывания, # 2 - это хорошо и модно.Возможно, вы также захотите рассмотреть маршрут, по которому идут многие компании, который связывает ключ API с именем пользователя.