REST API / Web サービスのセキュリティを確保するためのベストプラクティス [closed] 質問する

Question

tweakt が言ったように、Amazon S3 は作業に適したモデルです。Amazon のリクエスト署名には、偶発的および悪意のあるリクエストの再生の両方を防ぐのに役立つ機能 (タイムスタンプの組み込みなど) がいくつかあります。

HTTP Basic の優れた点は、事実上すべての HTTP ライブラリがこれをサポートしていることです。もちろん、この場合は SSL が必要です。なぜなら、プレーンテキストのパスワードをネット経由で送信することは、ほぼ例外なく悪いことだからです。SSL を使用する場合は、呼び出し側が資格情報が必要であることを既に知っている場合でも、Digest では nonce 値を交換するために追加のラウンドトリップが必要になるため、Digest よりも Basic の方が適しています。Basic では、呼び出し側は最初に資格情報を送信するだけです。

クライアントの ID が確立されると、承認は実際には実装の問題になります。ただし、既存の承認モデルを使用して、承認を他のコンポーネントに委任することもできます。ここでも、Basic の優れた点は、サーバーがクライアントのパスワードのプレーンテキストコピーを取得し、必要に応じてインフラストラクチャ内の別のコンポーネントに渡すことができることです。

Answer 1

tweakt が言ったように、Amazon S3 は作業に適したモデルです。Amazon のリクエスト署名には、偶発的および悪意のあるリクエストの再生の両方を防ぐのに役立つ機能 (タイムスタンプの組み込みなど) がいくつかあります。

HTTP Basic の優れた点は、事実上すべての HTTP ライブラリがこれをサポートしていることです。もちろん、この場合は SSL が必要です。なぜなら、プレーンテキストのパスワードをネット経由で送信することは、ほぼ例外なく悪いことだからです。SSL を使用する場合は、呼び出し側が資格情報が必要であることを既に知っている場合でも、Digest では nonce 値を交換するために追加のラウンドトリップが必要になるため、Digest よりも Basic の方が適しています。Basic では、呼び出し側は最初に資格情報を送信するだけです。

クライアントの ID が確立されると、承認は実際には実装の問題になります。ただし、既存の承認モデルを使用して、承認を他のコンポーネントに委任することもできます。ここでも、Basic の優れた点は、サーバーがクライアントのパスワードのプレーンテキストコピーを取得し、必要に応じてインフラストラクチャ内の別のコンポーネントに渡すことができることです。

REST API / Web サービスのセキュリティを確保するためのベストプラクティス [closed] 質問する

ベストアンサー1

おすすめ記事