在设计REST API或服务时,是否有处理安全性(身份验证、授权、身份管理)的最佳实践?

在构建SOAPAPI时,您可以将WS-Security作为指南,并且有许多关于该主题的文献。我发现关于保护REST端点的信息较少。

虽然我理解REST故意没有类似于WS-*的规范,但我希望已经出现了最佳实践或推荐的模式。

如有任何讨论或相关文件的链接,我们将不胜感激。如果重要的话,我们将使用WCF和POX/JSON序列化消息,用于使用.NET Framework v3.5构建的REST API/服务。


当前回答

我使用了OAuth几次,也使用了一些其他方法(BASIC/DIGEST)。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程:

http://hueniverse.com/oauth/guide/

其他回答

这已经有一段时间了,但这个问题仍然相关,尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试并使用了KONG,非常喜欢我所看到的。KONG提供了自己的管理REST API,您可以使用它来管理用户。

Express-gateway.io是最新的,也是一个API网关。

我使用了OAuth几次,也使用了一些其他方法(BASIC/DIGEST)。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程:

http://hueniverse.com/oauth/guide/

REST本身没有提供安全标准,但OAuth和SAML等东西正在迅速成为这个领域的标准。然而,身份验证和授权只是您需要考虑的一小部分。与web应用程序相关的许多已知漏洞非常适用于REST API。你必须考虑输入验证、会话破解、不适当的错误消息、内部员工漏洞等等。这是一个很大的问题。

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护,您可以完全访问RestChess代码中的自定义频道,我对此进行了大量探索。这是在Mix演示的,你可以在这里找到帖子。

我想添加(与臭马特一致),最简单的解决方案是将SSL证书添加到您的站点。换句话说,确保您的url是HTTPS://。这将保障你的交通安全(一掷千金)。使用RESTfulurl,想法是保持它的简单性(不像WS*security/SAML),您可以使用oAuth2/openID连接,甚至可以使用Basic Auth(在简单的情况下)。但您仍然需要SSL/HTTPS。请在此处检查ASP.NET Web API 2安全性:http://www.asp.net/web-api/overview/security(文章和视频)