细说RESTful API安全之认证受权
认证受权包含2个方面:
(1)访问某个资源时必须携带用户身份信息,如:用户登陆时返回用户access_token,访问资源时携带该参数。
(2)检查用户是否具有访问当前资源(url或数据)的权限:访问资源时检查用户权限。html
在REST架构中,access_token被定义为用户身份标识,用于对资源访问受权,只容许系统合法用户访问资源。具体来讲:
- 必须在每次访问时都携带access_token参数,参数位置能够位于HTTP消息头(HTTP Basic Authentication),也可放在请求参数列表中。
- 若是在访问请求中不存在access_token参数,或者验证access_token不合法(不存在或者不正确),拒绝访问,必须强制用户登陆。java
如何生成安全有效的用户access_token?
acces_token做为用户身份标识,必然与数据库中的用户一一对应,即:<access_token : user_id>。
在网络通讯中,一切数据都是透明的,都能被抓包截获,因此必须保证access_token具有以下特性:
1. access_token须要知足分布式环境下的全局惟一性。
2. access_token中不该该包含用户信息,若是将用户id编码到access_token中很容易泄露系统用户信息(一般用户id都是自增加的,很容易曝露系统当前用户规模等信息)。
3. access_token应该是动态变化的,即:用户每次登陆时获得的access_token值都与上一次登陆不一样。这样保证参数没有规律性,避免被用于网络攻击。
4. access_token应该具有必定特征,用于参数合法性验证,如:长度必须知足30个字符。git
参照如上需求,能够按照以下方式设计access_token:
(1)用户登陆时,动态生成UUID做为该用户的access_token,同时以access_token为key,用户id为value存入redis。
(2)用户访问资源时携带access_token,解析验证请求参数。
(3)若是access_token在redis中不存在,则说明用户还未登陆,强制用户登陆;转到(1)。
(4)若是access_token不合法(如字符长度不知足),强制用户从新登陆;转到(1)。
(5)验证access_token经过,继续其余权限验证或者资源访问。github
此外,根据业务场景能够做以下约定以加强access_token安全性:
1. 设置access_token超时时间,即:超过必定时间以后就必须让access_token失效,强制用户从新登陆。
2. 使用HTTP Basic Authentication,将access_token放在http消息头中而不是直接放在请求参数里,这样作更加规范。
3. 因为UUID会使用时间戳,因此须要对集群内服务器进行时钟同步。redis
注意:
JDK提供的默认UUID实现是基于名字空间的UUID(UUID Version 3)和基于伪随机数的UUID(UUID Version 4),很难保证在分布式环境下是全局惟一的。一个可选的开源Java UUID实现组件:
https://github.com/cowtowncoder/java-uuid-generator Java Uuid Generator (JUG),提供基于时间和MAC地址的UUID Version 1实现数据库
固然,若是在实际的业务系统中能保证名称惟一,好比用户手机或者邮箱,那么能够直接使用JDK基于名称空间的UUID V3实现。api
之因此选择UUID做为access_token实现,基于以下考虑:
(1)性能:UUID生成在本地完成,高效。
(2)简单有效:只要保证access_token全局惟一便可,且能够动态变化。安全
实际上,实现认证最优雅的方式应该是使用JWT,这是一个Token标准。服务器
【参考】
https://zh.wikipedia.org/wiki/%E9%80%9A%E7%94%A8%E5%94%AF%E4%B8%80%E8%AF%86%E5%88%AB%E7%A0%81 UUID
https://www.zhihu.com/question/34876910 UUID是如何保证惟一性的?
http://blog.csdn.net/fengshizty/article/details/48754609 App开放接口api安全性—Token签名sign的设计与实现
http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html 访问须要HTTP Basic Authentication认证的资源的各类语言的实现
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization
https://zxc0328.github.io/2015/11/04/http-basic-auth/ Http Basic Authorization的使用网络
- 1. 细说API - 认证、受权和凭证
- 2. 细说API – 认证、授权和凭证
- 3. HTTP API 认证受权术
- 4. 认证受权方案之JwtBearer认证
- 5. Yii2 restful api建立,认证受权以及速率控制
- 6. 细说API – 重新认识RESTful
- 7. API认证&SDK&RESTful
- 8. Web Api 2 认证与受权 2
- 9. 关于 Web Api 2 认证与受权
- 10. api安全认证
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • PHP RESTful - PHP参考手册
- • Composer 安装与使用
- • 三篇文章了解 TiDB 技术内幕——说存储
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window下Ribbit MQ安装
- 2. Linux下Redis安装及集群搭建
- 3. shiny搭建网站填坑战略
- 4. Mysql8.0.22安装与配置详细教程
- 5. Hadoop安装及配置
- 6. Python爬虫初学笔记
- 7. 部署LVS-Keepalived高可用集群
- 8. keepalived+mysql高可用集群
- 9. jenkins 公钥配置
- 10. HA实用详解