¿Qué razones existen para no solo enviar la clave API como un encabezado HTTP a través de HTTPS?

2

Recientemente he estado luchando para usar la plataforma Azure de Microsoft (que ha sido un dolor insondable en el culo). Una cosa temprana que noté fue que la autenticación fue inesperadamente más difícil de lo que esperaba. La mayoría de las API web que he usado simplemente envían alguna clave de API ya sea en la URL o como un encabezado HTTP.

Tenía la impresión de que mientras usara HTTPS (o una forma similar de comunicación encriptada), esto sería suficiente (y eso fue lo esencial que obtuve de preguntas similares, como this ).

Sin embargo, Microsoft parece querer que use un enfoque de Active Directory muy complicado. ¿Qué ventaja tiene esto sobre una simple clave API?

    
pregunta Kat 08.10.2015 - 23:22
fuente

1 respuesta

1

Es perfectamente correcto enviar las claves de api como encabezado en la solicitud HTTPS, ya que ocurre la primera negociación SSL / TLS, y luego se envía el paquete con el encabezado. El primer paquete para negociar el SSL no contiene encabezados que no sean los genéricos específicos del navegador. Esto es seguro y seguro. Sin embargo, AD tiene algo de poder detrás, y en un entorno de todas las ventanas es realmente una herramienta ingeniosa para usar.

¿En cuanto a ventajas específicas? Consulte aquí para ver un buen resumen.

Algunos aspectos destacados:

Administración de confianzas: acceso a múltiples dominios (bosques también) desde un solo AD

Administración de niños: los cambios en AD llevan a todos los niños de AD

Administración de usuarios: los usuarios en el AD se registran, se les realiza un seguimiento y se mantienen seguros en el AD, sus dominios y cualquier otra cosa que esté en el AD.

    
respondido por el Robert Mennell 09.10.2015 - 00:22
fuente

Lea otras preguntas en las etiquetas