设计 Web API：如何进行身份验证？

Question

我正在设计一个网络 API。 我需要让用户验证自己的身份。 我有点犹豫是否让用户以明文形式传递他们的用户名/密码..类似于： api.mysite.com/auth.php?user=x&pass=y

我读到的另一个选项是 Base64 编码用户名/密码，然后发送 HTTP 请求。 那么这是否意味着在服务器端；我会 _GET['user'] 和 _GET['password'] 然后以某种方式解码它们？

这就是 twitter 所做的吗： http://apiwiki.twitter.com/REST+API+文档#身份验证？

Answer 1

Base64 根本没有任何保护。 使用 SSL 实现真正的安全。

Answer 2

正如 truppo 提到的，首先使用 SSL。

许多 Web 服务所做的是提供“身份验证”服务，该服务返回一个令牌，稍后使用，并且可以以明文形式使用，因为它仅在有限的时间内有效。 当它过期时，客户端只需进行另一次身份验证。

这样做的主要好处是减少了 SSL 请求的数量，从而减轻了服务器的负载。

Answer 3

就在本周，IETF 发布了新草案 讨论 HTTP 中各种身份验证机制的安全属性。 您应该在那里找到有用的信息。

就我个人而言，我建议至少阅读 摘要式身份验证并分析它是否适合您。

使用 SSL 也可能是一种选择。 然而，它也以牺牲性能、可缓存性等为代价解决了其他问题。 它对有效负载数据保密。 如果这是一个要求，那么这就是你要走的路。

Answer 4

如果这是一个网络服务，您最好使用更安全的身份验证形式。 例如，在 LiveJournal 协议中：挑战-响应。

Answer 5

请不要对 api 使用常规用户名/密码身份验证。 人们确实不应该被迫将来自外部服务的凭据放入混搭服务中。

请考虑使用 oauth http://oauth.net/ 或至少一些基于挑战-响应的系统，如尤金建议的。

一种简单的方法是让访客服务生成一个连接到他的应用程序和用户的令牌。 如果您投入一些工作，您甚至可以确保令牌创建安全，只允许具有某些私钥/公钥机制的外部服务。

用户必须在您的应用程序中授权此令牌，然后访客服务才能使用它进行身份验证。

Answer 6

我发现这篇文章令人大开眼界。

简而言之：每个用户使用一对 API 密钥。 一种用于客户端身份验证，一种用于参数签名。