Estoy implementando una API web de estilo REST (nota: debe ser más pragmática que canónica) y me gustaría asegurarla. El lenguaje que estoy usando es bastante nuevo y no tiene muchos módulos de seguridad prefabricados de alta calidad como, por ejemplo, Rails 'Devise, y por eso tengo que utilizar el mío. También creo que esta es una muy buena oportunidad de aprendizaje, ¿por qué no?
Los escenarios básicos que necesito para trabajar son:
- inicio de sesión seguro a través de la web
- iniciar sesión para usuarios móviles que utilizan la misma API
- ACL basadas en quién es el usuario
Al no haber implementado ninguno de los anteriores a mano, no conozco las mejores prácticas. Desafortunadamente, no he podido encontrar ningún buen recurso que tenga tutoriales / guías sobre cómo se implementan algunos de estos conceptos básicos de seguridad web.
Por ejemplo, ¿qué es un buen ejemplo de autenticación basada en cookies, qué almacena en el token que se deja en el navegador del usuario, etc.? No he podido descubrir nada sólido a través de Google, sorprendente dado que debe ser una de las implementaciones más comunes para la mayoría de los sitios web.
¿Consejos?
¡Gracias!