একটি REST এপিআইয়ের জন্য প্রমাণীকরণ কার্যকর করার সেরা উপায়

আমরা মোবাইলের জন্য সামাজিক ভিত্তিক অ্যাপ্লিকেশন বিকাশ করি। প্রতিটি অ্যাপ্লিকেশন আরএসএসএফুল এপিআই ওয়েব-পরিষেবা গ্রহণ করে। আমি যখন লগইন প্রয়োগ করি তখন আমি সাধারণত ব্যবহারকারীর নাম এবং পাসওয়ার্ড ডিভাইসের কোথাও সঞ্চয় করি। তারপরে আমি সেগুলি প্রেরণ করেছি এবং প্রতিক্রিয়া হিসাবে আমি আমার প্রোফাইলে অ্যাক্সেস পেয়েছি। তবে আমি আরও জানি এটি করার আরও একটি উপায় আছে।

একরকম কোনও নির্দিষ্ট অ্যালগরিদমের সাথে একটি টোকেন তৈরি করে এবং তারপরে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর নাম এবং পাসওয়ার্ডের পরিবর্তে এটি প্রেরণ করুন।

আমি কীভাবে এটি বাস্তবায়ন করব? লগইন ব্যতীত অন্য সমস্ত অনুরোধের সাথে আমি কি এই টোকেনটি প্রেরণ করব?

RESTful প্রসঙ্গে কীভাবে প্রমাণীকরণ প্রয়োগ করতে হয় এবং লগইন / পাসওয়ার্ডের পরিবর্তে কেবলমাত্র টোকেনগুলি পাঠানো আরও নিরাপদ: আপনি টোকেনকে সময়সীমা বা অন্য কোনও মানদণ্ড দ্বারা অবৈধ হতে সহজ করতে পারেন, এবং ব্যবহারকারীকে পুনরায় প্রমাণীকরণ করতে বলবেন ।

উদাহরণস্বরূপ, HMAC ব্যবহার করে প্রমাণীকরণের REST অনুরোধগুলি । এই পদ্ধতির ক্ষেত্রে, ক্লায়েন্টের সর্বজনীন এবং গোপন কী থাকবে । প্রমাণীকরণের প্রয়োজন এমন সমস্ত অনুরোধের জন্য আপনার পাবলিক কী যুক্ত করা উচিত এবং আপনার অনুরোধের হ্যাশ গণনা করার জন্য গোপন কী ব্যবহার করা উচিত

var myRequest = "https://myserver/resource?publicId=12345&param=value";
var requestHash = hmac_implementation(myRequest);
myRequest = myRequest + '&hmac=' + requestHash;

এখন সার্ভার সর্বজনীন কী দ্বারা অনুরোধ সনাক্ত করতে এবং অনুরোধের হিসাব করতে পারে হ্যাশ itself যদি উভয় হ্যাশ সমান হয় তবে ব্যবহারকারী অনুমোদিত authorized

বিটিডব্লিউ, কম্পিউটার নেটওয়ার্কের মাধ্যমে যোগাযোগ সুরক্ষিত করতে আপনাকে https ব্যবহার করতে হবে - এটি নাটকীয়ভাবে সম্ভাব্য সমস্যার সংখ্যা হ্রাস করবে।

oAuth এটির জন্য মানক তবে আরও সমাধান রয়েছে।

সুরক্ষা, টোকেন ইত্যাদিকে নিজের দ্বারা বাস্তবায়নের চেষ্টা করবেন না কারণ এটি একটি কঠিন এবং ঝুঁকিপূর্ণ বিষয়। উদাহরণস্বরূপ এখানে দেখুন:

/programming/4574868/securing-my-rest-api-with-oauth-while-still-allowing-authentication-via-third-pa