আমাদের যদি এইচটিটিপিএস থাকে তবে কেন আমাদের কাছে আরএসটি পরিষেবা পরিষেবা দরকার


13

আমি এই দুর্দান্ত নিবন্ধটি http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ উল্লেখ করি যা ওয়েব পরিষেবার জন্য সুরক্ষার মতো অ্যামাজনের কথা বলে। তবে আমাকে দলে একটি প্রশ্ন জিজ্ঞাসা করা হয়েছিল যে আমরা যদি ইতিমধ্যে এইচটিটিপিএস ব্যবহার করি তবে আমাদের এটির প্রয়োজন কেন। আমি উত্তর দিতে অক্ষম ছিলাম কারণ সত্যিই আমার কাছে মনে হয় তারা ঠিক থাকতে পারে যদিও অন্ত্রে অন্যথায় আমাকে বলে।

এছাড়াও REST পরিষেবা দেওয়ার সময় এমন কোনও জায়গা রয়েছে যেখানে HTTPS কাজ না করে? তৃতীয় পক্ষের ওয়েবসাইটগুলি পছন্দ?

কারও কাছে যদি জনসাধারণের আন্তঃব্যক্তির উপর দিয়ে ওয়েব পরিষেবাদি সুরক্ষিত করার অভিজ্ঞতা থাকে তবে দয়া করে আপনার অভিজ্ঞতার সাথে কিছুটা আলোকপাত করুন।

আগাম ধন্যবাদ.

সম্পাদনা: পরিষ্কার করার জন্য আমি ব্যবহারকারীর প্রমাণীকরণের কথা বলছি না তবে ক্লায়েন্টের প্রমাণীকরণের কথা বলছি। ব্যবহারকারীর প্রমাণীকরণটি HTTPS + REST- এর মাধ্যমে সাধারণ পাঠ্য হিসাবে ধরে নেওয়া যেতে পারে।

আমার উদ্বেগটি হ'ল এটি এখনও আমার ক্লায়েন্ট ব্যতীত যে কোনওটিকে ওয়েব পরিষেবা ব্যবহার করতে দেয় যেহেতু এইচটিটিপিএসের মাধ্যমে ক্লায়েন্টের শেষ পয়েন্টটি ক্লায়েন্ট অ্যাপ্লিকেশন ছাড়াই এখনও আমার ওয়েব পরিষেবা ব্যবহার করতে পারে।


3

1
হতে পারে আপনি ঠিক বলেছেন তবে আমার প্রশ্নটি মুর দেভে সম্পর্কিত।

উত্তর:


13

আমাদের যদি ইতিমধ্যে এইচটিটিপিএস ব্যবহার করে থাকে তবে আমাদের ব্যবহারকারীর অ্যাকাউন্ট এবং জিমেইল - বা ব্যবহারকারীর অ্যাকাউন্টগুলির সাথে অন্য কোনও সাইট কেন Gmail দেওয়ার দরকার? উত্তরটি আপনার প্রশ্নের উত্তর হিসাবে একই।

এইচটিটিপিএস প্রথম এবং সর্বাগ্রে সার্ভার এবং ক্লায়েন্টের মধ্যে একটি এনক্রিপ্ট হওয়া সংযোগ সরবরাহ করে।

এইচটিটিপিএসের অন্তর্নিহিত বিশ্বাসটি প্রধান শংসাপত্র কর্তৃপক্ষগুলির উপর ভিত্তি করে তৈরি হয় যা ব্রাউজার সফ্টওয়্যারটিতে প্রাক ইনস্টল করা হয় (এটি "আমি শংসাপত্রের কর্তৃত্বকে বিশ্বাস করি (যেমন ভার্জি সাইন / মাইক্রোসফ্ট / ইত্যাদি।) আমাকে কাকে বিশ্বাস করা উচিত তা বলার জন্য)" সমান।

সার্ভার প্রতিটি ব্যবহারকারীর শংসাপত্র না দিলে সার্ভারটি প্রমাণীকরণের অন্য কোনও পদ্ধতি ছাড়াই ক্লায়েন্টকে বিশ্বাস করতে পারে না।


দুঃখিত আপনি ভুল বুঝেছেন বা আমি পরিষ্কার ছিল না। আমাজন এপিআই ডক্স জানিয়েছে যে আমাদের এইচটিটিপিএস ব্যবহার করা উচিত তবে আমরা যদি অনুরোধটি স্বাক্ষর না করি তবে। এই মুহুর্তে ব্যবহারকারীর নাম পাসওয়ার্ড অপ্রাসঙ্গিক।

3
একটি উচ্চ স্তরে, আপনার কাছ থেকে আদেশগুলি গ্রহণ করার জন্য আপনাকে নিজের পরিচয়টি সার্ভারের কাছে প্রমাণ করতে হবে। ক্লায়েন্টের প্রমাণীকরণ HTTPS এর মাধ্যমে করা যেতে পারে, এবং এটি বার্তা স্বাক্ষর ব্যবহার করেও করা যেতে পারে।
ম্যাট বল

1
আপনি যদি ক্লায়েন্ট প্রমাণীকরণের জন্য এইচটিটিপিএস ব্যবহার করতে চান তবে আমার উত্তরের শেষ লিঙ্কে বর্ণিত হিসাবে আপনাকে প্রতিটি ব্যবহারকারীর পাবলিক কী শংসাপত্র জারি করতে হবে। এই শংসাপত্রগুলিকে একটি পাসপোর্টের বৈদ্যুতিন সংস্করণ হিসাবে ভাবেন।
ম্যাট বল

1
আপনি আমার প্রশ্নের উত্তরগুলির কিডনির জন্য "প্রতিটি ব্যবহারকারীকে একটি শংসাপত্র দিন" এর জন্য লিঙ্ক করেছেন। আমার ধারণা সম্পূর্ণ ব্যক্তিগত পাবলিক কী এবং সাইন ইন করার জন্য এখনও একটি ওয়েব পরিষেবায় উভয় প্রান্তটি সঠিকভাবে সুরক্ষিত করা দরকার যাতে সার্ভারে কোনও এসএসএল পর্যাপ্ত না হয়। আপনার উত্তর এতদূর নিকটতম। আপনাকে অনেক ধন্যবাদ.
অভিষেক দুজারি

1
+1 এটি দুর্দান্ত যে আপনি ক্লায়েন্টের শংসাপত্রগুলি উল্লেখ করেছেন তবে সার্ভার শংসাপত্রগুলি জারি করার প্রয়োজন নেই। তাদের কেবল একটি বিশ্বস্ত সিএ দ্বারা স্বাক্ষর করা প্রয়োজন; সার্ভার শংসাপত্রগুলি কীভাবে কাজ করে তা মূলত একই।
জিমি জেমস

3

এইচটিপিপিএস শ্রবণশক্তি এবং "মাঝখানে মানুষ" আক্রমণ প্রতিরোধে খুব ভাল। এটি কোনও সেশনের জন্য সমস্ত ট্র্যাফিক এনক্রিপ্ট করে।

তবে বেশিরভাগ লোকেরা ডিফল্ট শংসাপত্রগুলি ব্যবহার করছে যা তাদের ব্রাউজারের সাথে এসেছে এবং কীভাবে তাদের নিজস্ব ব্যক্তিগত শংসাপত্র তৈরি করতে হবে বা ব্রাউজারটি এটি ব্যবহারের জন্য কনফিগার করতে হবে তার কোনও ধারণা নেই।

এটি এইচডিপিপিএসকে প্রাসঙ্গিকতা ইত্যাদি থেকে কোনও প্রমাণীকরণ ডায়ালগ রক্ষা করা ছাড়াও ব্যবহারকারী প্রমাণীকরণের জন্য বেশ অকেজো করে তোলে


আমি মনে করি আপনি যা বলছেন তার খুব কাছাকাছি। সুতরাং আপনি পরামর্শ দিচ্ছেন যে আমাদের এইচটিটিপিএস ব্যবহার করা সত্ত্বেও আমাদের ক্লায়েন্ট পক্ষের অনুরোধটি স্বাক্ষর করা উচিত?

2

এইচটিটিপিএস চ্যানেলটি সুরক্ষিত করার বিষয়ে, কলকারী কে, বা আপনার অন্যান্য অনেক বিষয় বিবেচনা করা দরকার তা প্রমাণ করে না। প্রমাণীকরণ, অনুমোদন এবং পরিবহন স্তর এনক্রিপশন আপনার যা বিবেচনা করা উচিত তা কেবলমাত্র একটি ছোট অংশ। ওয়েব অ্যাপ্লিকেশন সম্পর্কিত অনেকগুলি দুর্বলতা REST এপিএসে খুব বেশি প্রয়োগ হয়। আপনাকে ইনপুট বৈধতা, সেশন ক্র্যাকিং, অনুপযুক্ত ত্রুটি বার্তা, অভ্যন্তরীণ কর্মচারী দুর্বলতাগুলি এবং এগুলি বিবেচনা করতে হবে। এটি একটি বড় বিষয়।

রবার্ট


0

আপনি ক্লায়েন্ট এসএসএল শংসাপত্রগুলি গ্রহণ করতে পারেন এবং এপিআই থেকে সুরক্ষা আলাদা করতে পারেন। এই পদ্ধতির জন্য বড় ক্ষয়ক্ষতি হ'ল অপারেশন ওভারহেড যা আরও বেশি ক্লায়েন্টরা আপনার এপিআই গ্রহন করায় ব্যয়বহুল হবে।

যে কোনও হারে, এইচটিটিপি বেসিক প্রমাণীকরণ বিপুল পরিমাণে প্রকাশ্যে গ্রাহিত পরিষেবার জন্য ঠিক fine

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.