ruby-on-rails - 寻找在 Ruby on Rails 中构建安全 REST API 的建议

标签 ruby-on-rails ruby security rest asp.net-web-api

我开始为我正在从事的项目构建 REST API,这让我对使用 RoR 构建 API 的最佳方法进行了一些研究。我很快发现,默认情况下,模型对世界开放,可以通过 URL 调用,只需在 URL 末尾放置一个“.xml”并传递适当的参数。

那么接下来的问题来了。如何保护我的应用程序以防止未经授权的更改?在做一些研究时,我发现了几篇关于 attr_accessible 的文章。和 attr_protected以及如何使用它们。我发现谈论这些的特定 URL 于 07 年 5 月发布 ( here )。

与 ruby​​ 的所有事物一样,我确信从那时起事物已经发生了变化。所以我的问题是,这仍然是在 RoR 中保护 REST API 的最佳方式吗?

如果不是,您在“新项目”或“现有项目”场景中有何建议?

最佳答案

有多种认证 API 请求的方案,它们与 restful_authentication 或 act_as_authenticated 等插件提供的普通认证不同。最重要的是,客户端不会维护 session ,因此没有登录的概念。

HTTP 身份验证

您可以使用基本的 HTTP 身份验证。为此,API 客户端将使用常规用户名和密码,并将其放入 URL 中,如下所示:

http://myusername:mypass@www.someapp.com/

我相信 restful_authentication 支持开箱即用,因此您可以忽略是否有人通过 API 或浏览器使用您的应用程序。

这里的一个缺点是您要求用户在每个请求中都清楚地输入他们的用户名和密码。通过 SSL,您可以确保安全。

不过,我认为我从未真正见过使用它的 API。对我来说,这似乎是一个不错的主意,尤其是因为当前的身份验证方案开箱即用地支持它,所以我不知道问题是什么。

API key

启用 API 身份验证的另一种简单方法是使用 API key 。它本质上是远程服务的用户名。当有人注册使用你的 API 时,你给他们一个 API key 。这需要与每个请求一起传递。

这里的一个缺点是,如果有人获得了其他人的 API key ,他们可以以该用户的身份发出请求。我认为通过让您的所有 API 请求都使用 HTTPS (SSL),您可以在一定程度上抵消这种风险。

另一个缺点是用户无论走到哪里都使用相同的身份验证凭据(API key )。如果他们想撤销对 API 客户端的访问权限,他们唯一的选择是更改他们的 API key ,这也会禁用所有其他客户端。这可以通过允许用户生成多个 API key 来缓解。

API Key + Secret Key 签名

已弃用(有点) - 请参阅下面的 OAuth

更复杂的是使用 key 签署请求。这就是 Amazon Web Services(S3、EC2 等)所做的。本质上,您给用户 2 个 key :他们的 API key (即用户名)和他们的 secret key (即密码)。 API key 随每个请求一起传输,但 key 不是。相反,它用于对每个请求进行签名,通常是通过添加另一个参数。

IIRC,亚马逊通过获取请求的所有参数并按参数名称对它们进行排序来实现这一点。然后,这个字符串被散列,使用用户的 secret key 作为散列 key 。此新值在发送之前作为新参数附加到请求中。在亚马逊方面,他们做同样的事情。他们获取所有参数(签名除外),对它们进行排序,并使用 key 进行散列。如果这与签名匹配,他们就知道请求是合法的。

这里的缺点是复杂。让这个方案正常工作对于 API 开发人员和客户来说都是一件痛苦的事情。预计无法正常工作的客户开发人员会收到大量支持电话和愤怒的电子邮件。

OAuth

为了解决 key + secret 签名的一些复杂问题,出现了一个名为 OAuth 的标准。 . OAuth 的核心是 key + secret 签名的风格,但其中大部分是标准化的并已包含在 libraries for many languages 中。 .

一般来说,API 生产者和消费者使用 OAuth 比创建自己的 key /签名系统要容易得多。

OAuth 还固有地对访问进行分段,为每个 API 使用者提供不同的访问凭证。这允许用户有选择地撤销访问,而不会影响他们的其他消费应用程序。

专门针对 Ruby,有一个 OAuth gem为 OAuth 的生产者和消费者提供开箱即用的支持。我已经使用这个 gem 来构建 API 并使用 OAuth API,这给我留下了深刻的印象。如果您认为您的应用程序需要 OAuth(而不是更简单的 API key 方案),那么我可以轻松推荐使用 OAuth gem。

关于ruby-on-rails - 寻找在 Ruby on Rails 中构建安全 REST API 的建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/247110/

上一篇:ruby - 如何在遍历数组时使用 Array#delete?

下一篇:ruby-on-rails - 在 Rails 应用程序中查找未使用的代码

相关文章:

ruby - 如何推进多个枚举器,或 "But what about FizzBuzzBoozz?"

javascript - Ajax 调用 Rails 返回缺少模板

c - 神秘的内存管理

ruby-on-rails - 在 Heroku 上组合和缩小 JS/CSS 的最佳方法

ruby-on-rails - 使用路线从 View 中检查项目何时完成

ruby-on-rails - 部署到 Heroku "ERROR: must be superuser to COPY to or from a file"

ruby - 在 RVM env 的 Ruby cron 作业中找不到 Gem

java - 如何使用公钥的 mod 和 exp 初始化 Cipher 变量

java - JAAS登录成功后执行代码

ruby-on-rails - Rails 3 ActiveRecord 方法链,在幕后

©2024 IT工具网  联系我们