[Moscow.pm] Аутентификация для REST API

[Akzhan Abdulin]

Хотя тут же вспоминается и https/wss, его часто со временем приходится
включать в обязательном порядке. Это немного оффтопик, но на ту же тему
безопасности.

23 сентября 2016 г., 3:18 пользователь Akzhan Abdulin <
akzhan.abdulin на gmail.com> написал:

> понятно, что шифровать можно url+body, а вешать подпись проще в хидеры.
>
> 23 сентября 2016 г., 3:16 пользователь Akzhan Abdulin <
> akzhan.abdulin на gmail.com> написал:
>
> Мда, далеки программисты от рынка :-)
>>
>> Мое решение - просто user/request-with-sign/sign-by-hash-of
>>
>> Даже глупые напишут за нефиг делать, вывесить примеры на сайте на 20
>> языках.
>>
>> 23 сентября 2016 г., 0:01 пользователь Victor Efimov <victor на vsespb.ru>
>> написал:
>>
>> 22 сентября 2016 г., 21:54 пользователь Alexey Shrub
>>> <worldmind на mail.ru> написал:
>>> > On Чт, сен 22, 2016 в 2:35 , Victor Efimov <victor на vsespb.ru> wrote:
>>> >>
>>> >> ну если по-хорошему делать то симметричаня подпись запроса
>>> >
>>> >
>>> > это та же история что с клиентскими сертификатами, не очень удобно,
>>> надо
>>> > везде ключ установить, для обычных случаев избыточно
>>> >
>>>
>>> неудобно - да. нужно хорошо так попрограммировать клиент, зато всякие
>>> глупые юзеры api сами отвалятся и можно сократить отдель техподдержки,
>>> потому что останутся только умные.
>>> и ключ не надо устанавливать. там вместо ключа токен или пароль. в
>>> общем строка символов. симметричная подпись это обычный hmac(), т.е.
>>> md5/sha/итп от ключа и сообщения.
>>>
>>> > --
>>> > Moscow.pm mailing list
>>> > moscow-pm на pm.org | http://moscow.pm.org
>>> --
>>> Moscow.pm mailing list
>>> moscow-pm на pm.org | http://moscow.pm.org
>>>
>>
>>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mail.pm.org/pipermail/moscow-pm/attachments/20160923/e3d70de9/attachment.html>