Giải pháp cho chứng chỉ ứng dụng khách dịch vụ web/thực tiễn tốt nhất của auth

Question

Tôi có dịch vụ web đơn giản có nhà phát triển bên thứ ba API được phép truy cập. API chủ yếu tuân theo nguyên tắc REST.

Tôi quan tâm đến các giải pháp để làm cho API an toàn hơn bằng cách yêu cầu nhà phát triển sử dụng chứng chỉ ứng dụng khách. Có bất kỳ giải pháp nguồn mở hoặc lời khuyên thực hiện nào khác mà bạn có sẽ hỗ trợ trong các API dựa trên REST sử dụng chứng chỉ mức người dùng cho auth không?

Answer 1

Lời khuyên chung của tôi là giữ cho API của bạn tách biệt với các thói quen xác thực của bạn. Máy chủ web của bạn nên xử lý tương tác cho bạn.

Các giải pháp cho phía bạn của kịch bản chứng chỉ ứng dụng khách phụ thuộc vào môi trường của bạn. Bạn chưa đăng bài ở đây, nhưng có vẻ như một tìm kiếm được nhắm mục tiêu của Google sẽ cung cấp cho bạn ý tưởng về những gì cần thiết.

Vì bạn đang cung cấp API cho các bên khác, bạn có một số cân nhắc về hỗ trợ môi trường cho những nhà phát triển đó. Bạn đang làm tốt với một cơ sở REST, và hầu hết các môi trường lập trình sẽ tương thích với những người khá tốt.

Hỗ trợ chứng chỉ ứng dụng khách có thể thay đổi về mặt hiệu quả hỗ trợ trên môi trường, nền tảng, v.v. Ngoài ra, bạn hiện đang ảnh hưởng đến triển khai phía máy khách khi bạn yêu cầu chứng chỉ. Điều này gần như chắc chắn sẽ đưa bạn vào vị trí yêu cầu bạn hỗ trợ khách hàng của bạn và giúp họ tiếp cận và chạy với API của bạn. Điều đó có nghĩa là sự quen thuộc với các ngôn ngữ khác, máy chủ web, khung công tác, v.v.

Answer 2

Thư viện HTTP Python hỗ trợ client certificates, cũng như thư viện urllib nằm trên nó.