বেসিক এইচটিটিপি এবং বহনকারী টোকেন প্রমাণীকরণ

আমি বর্তমানে একটি আরইএসটি-এপিআই বিকাশ করছি যা উন্নয়নের পরিবেশের জন্য সুরক্ষিত HTTP-Basic। আসল প্রমাণীকরণটি একটি টোকেনের মাধ্যমে সম্পন্ন হওয়ার পরে, আমি এখনও চেষ্টা করার চেষ্টা করছি, কীভাবে দুটি অনুমোদন শিরোনাম প্রেরণ করা যায়।

আমি এটি চেষ্টা করেছি:

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Authorization: Bearer mytoken123"

আমি উদাহরণস্বরূপ আমার আইপি-র জন্য এইচটিটিপি-প্রমাণীকরণ অক্ষম করতে পারি তবে আমি সাধারণত গতিশীল আইপি সহ বিভিন্ন পরিবেশে কাজ করি, এটি কোনও ভাল সমাধান নয়। আমি কি কিছু মিস করছি?

ইউআরএলটিতে মৌলিক প্রমাণীকরণের জন্য এটি ব্যবহার করে দেখুন:

curl -i http://username:password@dev.myapp.com/api/users -H "Authorization: Bearer mytoken123"
               ^^^^^^^^^^^^^^^^^^

যদি উপরের কোনওটি কাজ না করে তবে আপনার এটির কোনও সম্পর্ক নেই। সুতরাং নিম্নলিখিত বিকল্প চেষ্টা করে দেখুন।

আপনি অন্য নামে টোকেনটি পাস করতে পারেন। কারণ আপনি নিজের অ্যাপ্লিকেশন থেকে অনুমোদনটি পরিচালনা করছেন। সুতরাং আপনি এই বিশেষ উদ্দেশ্যে সহজেই এই নমনীয়তাটি ব্যবহার করতে পারেন।

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Application-Authorization: mytoken123"

লক্ষ্য করুন আমি শিরোলেখ পরিবর্তন করেছি Application-Authorization। সুতরাং আপনার অ্যাপ্লিকেশন থেকে সেই শিরোলেখের নিচে টোকেন ধরুন এবং আপনার যা করা দরকার তা প্রক্রিয়া করুন।

আর একটি জিনিস যা আপনি করতে পারেন তা হ'ল প্যারামিটারগুলির tokenমধ্য দিয়ে পাস করার জন্য POSTএবং সার্ভার দিক থেকে প্যারামিটারের মানটি ধরে নেওয়া। উদাহরণস্বরূপ কার্ল পোস্ট প্যারামিটারের সাথে টোকেন পাস করা:

-d "auth-token=mytoken123"

মানক ( https://tools.ietf.org/html/rfc6750 ) বলছেন আপনি ব্যবহার করতে পারেন:

• ফর্ম- এনকোডড বডি প্যারামিটার: অনুমোদন: বহনকারী মাইটোকেন 123
• ইউআরআই ক্যোয়ারী প্যারামিটার: অ্যাক্সেস_ টোকেন = মাইটোকেন 123

সুতরাং অনেক বিয়ার টোকেনকে ইউআরআই দিয়ে পাস করা সম্ভব তবে এটি করা নিরুৎসাহিত করা হয় (স্ট্যান্ডার্ডের 5 নং অংশটি দেখুন)।

যদি আপনি মাঝখানে nginx এর মতো বিপরীত প্রক্সি ব্যবহার করে থাকেন তবে আপনি একটি কাস্টম টোকেন যেমন সংজ্ঞায়িত করতে পারেন X-API-Token।

এনগিনেক্সে আপনি এটিকে প্রবাহের প্রক্সি (আপনার বাকী এপিআই) কেবল লেখার জন্য আবার লিখতে হবে:

proxy_set_header Authorization $http_x_api_token;

... যখন এনজিএনএক্স এইচটিটিপি অ্যাথ পরীক্ষা করতে মূল অনুমোদনের শিরোনাম ব্যবহার করতে পারে।

আমার অনুরূপ সমস্যা ছিল - ডিভাইসে ডিভাইস এবং ব্যবহারকারীকে প্রমাণীকরণ করুন। আমি একটি Cookieশিরোলেখ পাশাপাশি একটি Authorization: Bearer...শিরোনাম ব্যবহার করেছি ।

curl --anyauth

কার্লকে নিজেই প্রমাণীকরণের পদ্ধতিটি বের করার জন্য বলে এবং রিমোট সাইটটি সমর্থনের জন্য দাবি করা সর্বাধিক সুরক্ষিত একটি ব্যবহার করে। এটি প্রথমে একটি অনুরোধ করে এবং প্রতিক্রিয়া-শিরোনামগুলি পরীক্ষা করে করা হয়, সম্ভবত এটি কোনও অতিরিক্ত নেটওয়ার্ক রাউন্ড-ট্রিপ প্ররোচিত করে। এটি একটি নির্দিষ্ট প্রমাণীকরণ পদ্ধতি সেট করার পরিবর্তে ব্যবহৃত হয়, যা আপনি --basic, --digest, --ntlm এবং --negotiate দিয়ে করতে পারেন।

বিকাশ সার্ভারে API গুলি পরীক্ষার জন্য আরও একটি সমাধান রয়েছে।

• HTTP Basic Authenticationশুধুমাত্র ওয়েব রুটের জন্য সেট করুন
• প্রমাণীকরণ থেকে মুক্ত সমস্ত API রুট ছেড়ে দিন

ওয়েব সার্ভার কনফিগারেশন এর জন্য nginxএবং Laravelএটি হতে হবে:

    location /api {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location / {
        try_files $uri $uri/ /index.php?$query_string;

        auth_basic "Enter password";
        auth_basic_user_file /path/to/.htpasswd;
    }

Authorization: Bearer ওয়েব ক্রলার এবং অন্যান্য অযাচিত দর্শকদের বিরুদ্ধে ডেভলপমেন্ট সার্ভারকে রক্ষা করার কাজটি করবে।

এনজিনেক্সের সাহায্যে আপনি উভয় টোকেনকে এটি প্রেরণ করতে পারেন (এটি স্ট্যান্ডার্ডের বিপরীতে হলেও):

Authorization: Basic basic-token,Bearer bearer-token

এটি যতক্ষণ না বেসিক টোকেনটি প্রথম হয় - এনগিনেক্স এটিকে সফলভাবে অ্যাপ্লিকেশন সার্ভারে ফরোয়ার্ড করে।

এবং তারপরে আপনাকে অবশ্যই নিশ্চিত করতে হবে যে আপনার অ্যাপ্লিকেশন সঠিকভাবে উপরের স্ট্রিং থেকে বেয়ারারকে বের করতে পারে।