在设计REST API或服务时,是否有处理安全性(身份验证、授权、身份管理)的最佳实践?

在构建SOAPAPI时,您可以将WS-Security作为指南,并且有许多关于该主题的文献。我发现关于保护REST端点的信息较少。

虽然我理解REST故意没有类似于WS-*的规范,但我希望已经出现了最佳实践或推荐的模式。

如有任何讨论或相关文件的链接,我们将不胜感激。如果重要的话,我们将使用WCF和POX/JSON序列化消息,用于使用.NET Framework v3.5构建的REST API/服务。


当前回答

正如twitt所说,AmazonS3是一个很好的模型。它们的请求签名确实具有一些特性(如包含时间戳),有助于防止意外和恶意请求重放。

HTTP Basic的优点是几乎所有的HTTP库都支持它。当然,在这种情况下,您需要使用SSL,因为通过网络发送明文密码几乎是一件普遍的坏事。使用SSL时,Basic比Digest更好,因为即使调用方已经知道需要凭据,Digest也需要额外的往返来交换nonce值。使用Basic,调用者只需在第一次发送凭证。

一旦确定了客户机的身份,授权实际上只是一个实现问题。但是,您可以将授权委托给具有现有授权模型的其他组件。同样,Basic的好处是,您的服务器最终提供了客户端密码的明文副本,您可以根据需要将其传递给基础架构中的另一个组件。

其他回答

这些答案中的每个人都忽略了真正的访问控制/授权。

例如,如果您的RESTAPI/web服务是关于发布/获取病历的,那么您可能需要定义访问控制策略,以确定谁可以访问数据以及在什么情况下访问数据。例如:

医生可以获取与他们有护理关系的患者的病历任何人都不能在练习时间之外(例如9到5)发布医疗数据最终用户可以获得他们拥有的病历或他们作为监护人的患者的病历护士可以更新与护士属于同一单位的患者的病历。

为了定义和实现这些细粒度授权,您需要使用一种基于属性的访问控制语言XACML,即可扩展访问控制标记语言。

其他标准如下:

OAuth:id。联合和授权委托,例如让一个服务代表我的另一个服务(Facebook可以发布到我的Twitter)SAML:身份联合/web SSO。SAML非常关注用户是谁。WS-Security/WS-*标准:这些标准关注SOAP服务之间的通信。它们特定于应用程序级消息传递格式(SOAP),它们处理消息传递的各个方面,例如可靠性、安全性、机密性、完整性、原子性、事件。。。没有一个涉及访问控制,所有都是特定于SOAP的。

XACML是技术不可知的。它可以应用于java应用程序、.NET、Python、Ruby。。。web服务、REST API等。

以下是有趣的资源:

OASIS XACML网站NIST ABAC标准

您可能还想看看OAuth,这是一种新兴的基于令牌的授权开放协议,专门针对http api。

它与flickr所采用的方法非常相似,并记住牛奶“rest”api(不一定是restful api的好例子,而是基于令牌的方法的好例子)。

我使用了OAuth几次,也使用了一些其他方法(BASIC/DIGEST)。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程:

http://hueniverse.com/oauth/guide/

正如twitt所说,AmazonS3是一个很好的模型。它们的请求签名确实具有一些特性(如包含时间戳),有助于防止意外和恶意请求重放。

HTTP Basic的优点是几乎所有的HTTP库都支持它。当然,在这种情况下,您需要使用SSL,因为通过网络发送明文密码几乎是一件普遍的坏事。使用SSL时,Basic比Digest更好,因为即使调用方已经知道需要凭据,Digest也需要额外的往返来交换nonce值。使用Basic,调用者只需在第一次发送凭证。

一旦确定了客户机的身份,授权实际上只是一个实现问题。但是,您可以将授权委托给具有现有授权模型的其他组件。同样,Basic的好处是,您的服务器最终提供了客户端密码的明文副本,您可以根据需要将其传递给基础架构中的另一个组件。

我遇到过的关于REST安全性的最好的帖子之一是1 RainDrop。MySpace API也使用OAuth进行安全保护,您可以完全访问RestChess代码中的自定义频道,我对此进行了大量探索。这是在Mix演示的,你可以在这里找到帖子。