在设计REST API或服务时,是否有处理安全性(身份验证、授权、身份管理)的最佳实践?

在构建SOAPAPI时,您可以将WS-Security作为指南,并且有许多关于该主题的文献。我发现关于保护REST端点的信息较少。

虽然我理解REST故意没有类似于WS-*的规范,但我希望已经出现了最佳实践或推荐的模式。

如有任何讨论或相关文件的链接,我们将不胜感激。如果重要的话,我们将使用WCF和POX/JSON序列化消息,用于使用.NET Framework v3.5构建的REST API/服务。


当前回答

REST本身没有提供安全标准,但OAuth和SAML等东西正在迅速成为这个领域的标准。然而,身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

其他回答

我使用了OAuth几次,也使用了一些其他方法(BASIC/DIGEST)。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程:

http://hueniverse.com/oauth/guide/

REST本身没有提供安全标准,但OAuth和SAML等东西正在迅速成为这个领域的标准。然而,身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

对于Web应用程序安全,您应该看看OWASP(https://www.owasp.org/index.php/Main_Page)它为各种安全攻击提供了欺骗单。您可以采用尽可能多的措施来保护您的应用程序。关于API安全(授权、身份验证、身份管理),有多种方式(基本、摘要和OAuth)。OAuth1.0中存在循环漏洞,因此可以使用OAuth1.0a(由于对规范的担忧,OAuth2.0没有被广泛采用)

您可能还想看看OAuth,这是一种新兴的基于令牌的授权开放协议,专门针对http api。

它与flickr所采用的方法非常相似,并记住牛奶“rest”api(不一定是restful api的好例子,而是基于令牌的方法的好例子)。

因为@Nathan最后得到了一个简单的HTTP Header,有些人说OAuth2和客户端SSL证书。其要点是。。。您的RESTAPI不应该处理安全性,因为这确实超出了API的范围。

相反,无论是web代理后面的HTTP头(一种常见的方法,如SiteMinder、Zermatt甚至Apache HTTPd),还是像OAuth 2一样复杂,都应该在其上面设置一个安全层。

关键是请求应该在没有任何最终用户交互的情况下工作。所需要的就是确保与RESTAPI的连接经过身份验证。在JavaEE中,我们有一个userPrincipal的概念,它可以在HttpServletRequest上获得。它也在部署描述符中管理,URL模式可以是安全的,因此RESTAPI代码不再需要检查。

在WCF世界中,我将使用ServiceSecurityContext.Current获取当前安全上下文。您需要将应用程序配置为需要身份验证。

我上面的声明有一个例外,那就是使用随机数来防止重放(可能是攻击,也可能是某人提交了两次相同的数据)。该部分只能在应用程序层中处理。