কীভাবে আরএসটিফুল ওয়েব পরিষেবাদি সুরক্ষিত করবেন?

আমাকে সুরক্ষিত RESTful ওয়েব পরিষেবাদি প্রয়োগ করতে হবে । আমি গুগল ব্যবহার করে ইতিমধ্যে কিছু গবেষণা করেছি তবে আমি আটকে আছি।

বিকল্পসমূহ:

টিএলএস (এইচটিটিপিএস) +

• HTTP বেসিক (pc1oad1etter)
• এইচটিটিপি ডাইজেস্ট
• দ্বি-পায়ের ওআউথ
• একটি কুকি ভিত্তিক পদ্ধতির
• ক্লায়েন্ট শংসাপত্র (টম রিটার এবং এখানে )
• এইচএমএসি এবং একটি সীমিত জীবনকাল ব্যবহার করে স্বাক্ষরিত অনুরোধগুলি

বিবেচনার জন্য আরও সম্ভাব্য বিকল্প আছে? যদি ওউথ থাকে তবে কী সংস্করণ? এটা কি কোন ব্যাপার? আমি এ পর্যন্ত যা বহনকারী টোকেন সহ ওআউথ ২.০ পড়েছি তা থেকে (এটি স্বাক্ষরবিহীন) নিরাপদ বলে মনে হচ্ছে ।

আরইএসটি ভিত্তিক প্রমাণীকরণের জন্য আমি একটি আরও আকর্ষণীয় নিবন্ধ পেয়েছি ।

আপনার REST এপিআই সুরক্ষিত করুন ... সঠিক উপায়

আরও একটি নিরাপদ পদ্ধতি রয়েছে। এটি ক্লায়েন্ট শংসাপত্র। আপনি যখন https এ সার্ভারগুলির সাথে যোগাযোগ করেন তখন সার্ভারগুলি কীভাবে একটি এসএসএল সার্ট উপস্থাপন করে? ভাল সার্ভারগুলি ক্লায়েন্টের কাছ থেকে শংসাপত্রের জন্য অনুরোধ করতে পারে যাতে তারা জানতে পারে যে ক্লায়েন্টটি কে তারা বলে তারা। ক্লায়েন্টরা শংসাপত্র তৈরি করে এবং সেগুলি আপনাকে একটি সুরক্ষিত চ্যানেলের মাধ্যমে দেয় (যেমন কোনও ইউএসবি কী নিয়ে আপনার অফিসে আসা - পছন্দমতো কোনও নন-ট্রোজানযুক্ত ইউএসবি কী)।

আপনি আপনার ওয়েব সার্ভারে শংসাপত্রের ক্লায়েন্ট শংসাপত্রগুলির সার্বজনীন কী (এবং তাদের স্বাক্ষরকারীর শংসাপত্রগুলি, প্রয়োজন হলে) আপনার ওয়েব সার্ভারে লোড করুন এবং ওয়েব সার্ভার শংসাপত্রগুলির সাথে সম্পর্কিত ব্যক্তিগত কীগুলি রয়েছে এমন ব্যক্তিরা ব্যতীত কারও কাছ থেকে সংযোগ গ্রহণ করবে না এটা সম্পর্কে জানে। এটি এইচটিটিপিএস স্তরে চলে তাই আপনি এমনকি OAuth এর মতো অ্যাপ্লিকেশন-স্তরের প্রমাণীকরণ (আপনার প্রয়োজনীয়তার উপর নির্ভর করে) সম্পূর্ণভাবে এড়িয়ে যেতে সক্ষম হতে পারেন। আপনি একটি স্তর দূরে অ্যাবস্ট্রাক্ট করতে পারেন এবং একটি স্থানীয় শংসাপত্র কর্তৃপক্ষ তৈরি করতে পারেন এবং ক্লায়েন্টদের কাছ থেকে শংসাপত্র অনুরোধগুলি সাইন করতে পারেন, যাতে 'এগুলি অফিসে আসার ব্যবস্থা করুন' এবং 'সার্ভারে লোড শংসাপত্রগুলি' পদক্ষেপগুলি এড়াতে পারবেন।

ঘাড়ে ব্যথা? একেবারে। সব কিছুর জন্য ভাল? নাহ। খুব সুরক্ষিত? হা.

এটি ক্লায়েন্টদের তাদের শংসাপত্রগুলি নিরাপদে রাখার উপর নির্ভর করে (তারা অনলাইনে তাদের ব্যক্তিগত কীগুলি পোস্ট করতে পারে না) এবং আপনি যখন ক্লায়েন্টদের কাছে কোনও পরিষেবা বিক্রি করেন তখন কাউকে নিবন্ধভুক্ত এবং সংযুক্ত হতে দেওয়ার ক্ষেত্রে এটি সাধারণত ব্যবহৃত হয়।

যাইহোক, এটি যে সমাধানটি আপনি খুঁজছেন তা নাও হতে পারে (এটি সম্ভবত সৎ হতে হবে না) তবে এটি অন্য বিকল্প।

HTTP বেসিক + এইচটিটিপিএস একটি সাধারণ পদ্ধতি।

যদি OAuth সংস্করণগুলির মধ্যে চয়ন করা থাকে তবে OAuth 2.0 এর সাথে যান।

OAuth বহনকারী টোকেন কেবল একটি নিরাপদ পরিবহণের সাথে ব্যবহার করা উচিত।

OAuth বহনকারী টোকেনগুলি কেবল সেই পরিবহন হিসাবে সুরক্ষিত বা সুরক্ষিত যা কথোপকথনকে এনক্রিপ্ট করে। এইচটিটিপিএস রিপ্লে আক্রমণ থেকে রক্ষা করার জন্য যত্ন নেয়, তাই বহনকারী টোকেনকে পুনরায় প্লে করার বিরুদ্ধেও রক্ষা করা জরুরী নয়।

যদিও এটি সত্য যে কেউ যদি আপনার বহনকারী টোকেনকে বাধা দেয় তবে এপিআইতে কল করার সময় তারা আপনাকে ছদ্মবেশ তৈরি করতে পারে, সেই ঝুঁকি হ্রাস করার প্রচুর উপায় রয়েছে। যদি আপনি আপনার টোকেনগুলিকে দীর্ঘ মেয়াদোত্তীর্ণ সময়সীমা দেন এবং আপনার ক্লায়েন্টদের স্থানীয়ভাবে টোকেনগুলি সংরক্ষণ করার প্রত্যাশা থাকে, আপনি যদি টোকেনগুলিকে একটি স্বল্প মেয়াদোত্তীর্ণ সময় দেন তবে আপনার টোকেনদের বিরতি দেওয়া এবং অপব্যবহারের ঝুঁকি বেশি থাকে, প্রতি সেশনের জন্য ক্লায়েন্টদের নতুন টোকেন অর্জন করা প্রয়োজন, এবং ক্লায়েন্টদের টোকেন অবিরত না রাখার পরামর্শ দিন।

যদি আপনার একাধিক অংশগ্রহণকারীদের মধ্য দিয়ে যায় এমন পেডগুলি সুরক্ষিত করতে হয় তবে আপনাকে এইচটিটিপিএস / এসএসএল এর চেয়ে আরও কিছু বেশি প্রয়োজন, যেহেতু এইচটিটিপিএস / এসএসএল কেবল গ্রাফের একটি লিঙ্ক এনক্রিপ্ট করে। এটি ওআউথের দোষ নয়।

গুগল, ফেসবুক এবং অন্যান্য অনেক পরিষেবা থেকে জনসাধারণের মুখোমুখি এপিআই সুরক্ষিত করার জন্য ক্লায়েন্টদের পক্ষে গ্রাহকদের পক্ষে, এপিআই কলগুলির জন্য সহজে ব্যবহার করা সহজ এবং বিস্তৃতভাবে (এইচটিটিপিএস সহ) ব্যবহার করা হয় বোরার টোকেনগুলি।