RESTful用户认证服务

Question

大家好，这似乎已经被经常讨论，但我想就使用 RESTful 服务进行身份验证提出一个简单的、淡化的问题。场景如下：

• 有一个系统容纳应用程序的注册用户。系统公开了一个 RESTful API 来访问这些用户。
• 有一个带有登录表单的前端应用程序。该应用程序可以是内部的，也可以是外部的。
• 前端应用程序需要使用用户系统中的数据来验证用户的身份。

现在的问题是如何根据用户系统中的数据对在客户端应用程序中输入凭据（用户名/密码）的用户进行身份验证，以确保安全和高性能？为了解决这个问题，假设客户端应用程序位于某种 Intranet 的内部，但应用程序不会驻留在同一台计算机上，并且只能通过服务进行通信。

我理解让应用程序成为“超媒体驱动”的想法，但我们应该能够提供过滤/搜索服务。例如，请考虑如下资源和 API：

• http://example.com/users
  • GET - 检索所有用户（分页、超媒体驱动）
  • POST - 创建新用户
  • 不支持放置/删除
• http://example.com/users/[id]
  • GET - 返回 id = {id} 的用户的完整表示
  • PUT - 更新用户，接受任何预定义的媒体类型
  • DELETE - 删除用户（具有适当的授权）
  • 不支持 POST

根据上述内容，我的想法客户端应用程序将在用户列表上获取 GET，并按用户名进行过滤。该服务将散列密码和盐返回给客户端，客户端将执行身份验证。

想法？

Answer 1

如果我正确理解您的问题，您正在寻求实现一个处理身份验证的通用服务，以便您可以将其重新用于不同的应用程序。

我建议您看一下OAuth，它正是针对这个问题域而构建的。

Answer 2

将用户名和盐传回是不必要的，并且存在真正的安全风险。

也许您可以考虑这种方法：

让客户端通过 基本身份验证

服务器获取用户名的加密密码以及盐

服务器使用某种加密方法（使用盐）对给定密码进行加密辅助算法（Ruby 代码如下）：

def User.authenticate(login, password)
    ok = false

    user = User.find_by_login(login)

    if user
        #
        #   user contains the salt, it isn't passed from the client
        #  
        expected_password = hash_password(password, user.salt)

        ok = (user.password == expected_password)
    end

    return ok
end

有多个地方可以使用这种方法，但我喜欢在 Rack 中进行。

最后一点，这一切都在 HTTPS 连接上完成

Answer 3

Stormpath

Stormpath 公司致力于为开发者提供用户登录管理 API 和服务。他们使用 REST JSON 方法。

还有一些其他公司似乎也涉足身份验证即服务这一新领域，但据我所知，Stormpath 是唯一一家致力于此领域的公司。

Answer 4

首先，您不希望客户端执行身份验证，因为这样编写一个闯入您的服务的客户端就很简单了。

相反，只需使用 HTTP Basic 或 HTTP 摘要。

请注意，如果您使用 Java，则 Restlet 框架提供称为 Guards 的拦截器，它支持这些拦截器和其他拦截器机制。我强烈推荐雷斯特莱特。

Answer 5

Mozilla 角色

自从这个问题发布以来，Mozilla 基金会（Firefox浏览器）解决了简单用户认证的问题。他们的解决方案是 Mozilla Persona，“网络登录系统”。旨在方便用户和开发人员。用户的身份是电子邮件地址。请参阅维基百科文章。

更新

Mozilla 基本上放弃了 Persona 的工作，但还没有完全被杀死 项目。