在设计REST API或服务时,是否有处理安全性(身份验证、授权、身份管理)的最佳实践?

在构建SOAPAPI时,您可以将WS-Security作为指南,并且有许多关于该主题的文献。我发现关于保护REST端点的信息较少。

虽然我理解REST故意没有类似于WS-*的规范,但我希望已经出现了最佳实践或推荐的模式。

如有任何讨论或相关文件的链接,我们将不胜感激。如果重要的话,我们将使用WCF和POX/JSON序列化消息,用于使用.NET Framework v3.5构建的REST API/服务。


当前回答

谢谢你的忠告。我们最终使用了一个定制的HTTP头将身份令牌从客户端传递给服务,为将RESTful API和微软即将推出的Zermatt identity框架集成做准备。我已经在这里描述了问题和我们的解决方案。我还采纳了tweet的建议,购买了RESTfulWebServices——如果你正在构建任何类型的RESTfulAPI,这是一本非常好的书。

其他回答

我有点惊讶的是,还没有提到带有客户端证书的SSL。当然,只有当您能够依靠证书识别用户群体时,这种方法才真正有用。但许多政府/公司确实向其用户发放了这些证书。用户不必担心创建另一个用户名/密码组合,并且在每个连接上都建立了身份,因此与服务器的通信可以完全无状态,不需要用户会话。(并非意味着所提及的任何/所有其他解决方案都需要会议)

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护,您可以完全访问RestChess代码中的自定义频道,我对此进行了大量探索。这是在Mix演示的,你可以在这里找到帖子。

REST本身没有提供安全标准,但OAuth和SAML等东西正在迅速成为这个领域的标准。然而,身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

我推荐OAuth 2/3。更多信息请访问http://oauth.net/2/

我搜索了很多关于restful ws安全性的信息,最后我们通过cookie在客户端到服务器之间使用令牌来验证请求。我使用spring安全性来授权服务中的请求,因为我必须根据DB中已经存在的指定安全策略来验证和授权每个请求。