Autenticación en RestAPI

0

Quiero implementar un mecanismo de seguridad mediante el cual puedo asegurar mi RestApi de los "Clientes que no son lo que dicen ser". En mi caso, el consumidor de API por ahora es otro servicio web, no un navegador. He leído numerosos artículos sobre cómo asegurar un restApi todo lo que dicen es usar tokens de portador, Auth0, JWT. Por lo general, todas estas técnicas comparten una clave / token cifrada, sea cual sea, solo en la solicitud de inicio de sesión. En las solicitudes posteriores, pasarán la misma ficha en los encabezados. ¿Cómo puedo validar un cliente si no tengo ninguna solicitud de inicio de sesión?

    
pregunta Arpit Tripathi 04.05.2018 - 11:48
fuente

1 respuesta

1

Solo dales el token manualmente. Ya sea JWT, un par de claves públicas / privadas, un secreto compartido o cualquier otra cosa, simplemente puede entregarlo a todos los servidores de forma manual. Recuerdo que una vez codifiqué el secreto compartido en el código PHP, no lo recomendaría. Aún así, solo debe tener un secreto, idealmente una clave HMAC en un archivo en el servidor solicitante. Luego, utilícelo para autenticar su solicitud, por ejemplo, utilizando JWT con HMAC.

    
respondido por el Peter Harmann 04.05.2018 - 11:57
fuente

Lea otras preguntas en las etiquetas