Asegurando una API de descanso con un cliente

Navega tus respuestas
1

Estoy a punto de desarrollar una API REST que solo tendrá un "usuario" y tengo curiosidad acerca de cómo debo implementar la seguridad para que sea lo más segura posible (espero implementar un protocolo que actualmente desconozco). / p>

Así que inicialmente pensé en implementar openID connect, sin embargo, creo que esto no será posible ya que el único usuario es una API que debería poder acceder a mis recursos protegidos sin la intervención del usuario.

Supongo que la pregunta es: ¿existe un protocolo de seguridad estandarizado para este tipo de casos, o todos simplemente "siguen el flujo" e implementan lo que funciona?

    
pregunta munHunger 27.06.2017 - 15:03
fuente

3 respuestas

2

Por experiencia personal, podría ser más sencillo implementar una clave con una clave que solo le emita a un usuario, en lugar de usar el método de autenticación de nombre de usuario / contraseña, aparte de eso, no estoy seguro de qué otra cosa tendría preocuparse por. Tal vez haya una forma de combinar ambas formas, pero las API suelen estar configuradas para que múltiples clientes puedan aprovechar la funcionalidad, por lo que una clave podría ser la forma más sencilla de restringirla a un solo usuario.

    
respondido por el PositriesElectron 27.06.2017 - 15:23
fuente
0

Puede utilizar la autenticación X.509 y confiar en la autenticación mutua (el servidor lo autentica a usted y usted al servidor).

    
respondido por el Lucas Kauffman 27.06.2017 - 15:25
fuente
0

A pesar de que esta pregunta ha sido respondida, el flujo de credenciales de OpenID Connect Client es una manera perfecta de asegurar su API con una clave. Este flujo está dirigido específicamente a clientes que no son realmente usuarios, como las API y otros procesos del sistema, y no requiere la intervención del usuario. Esto le permite expandirse fácilmente a más clientes, cada uno con sus propias claves y permisos de acceso únicos, así como también permitirle mezclar usuarios humanos normales cuando sea necesario.

    
respondido por el mclark1129 06.07.2017 - 13:49
fuente

Lea otras preguntas en las etiquetas

Seguridad de API - TLS mutuo frente a TLS con secreto compartido. Actividad sospechosa del sitio en www.computerworld.com