API Authentication: w jakiej formie?

Odpowiedz Nowy wątek
2019-04-17 06:51
0

Jaki sposób autentyfikacji użytkownika w API byście proponowali? Mamy do wyboru:

  • JSON Web Token
  • Personal Access Token (generowane przez użytkownika w jego panelu, podobnie jak Github)
  • OAuth2

Pozostało 580 znaków

2019-04-17 08:47
0

Opcja druga + https://docs.aws.amazon.com/A[...]latest/DG/HMACSignatures.html ?

Jeez no - generowanie takich sygnatur jest upierdliwe, a nie tworzymy oprogramowania rakietowego, aby tak martwić się bezpieczeństwem IMO. - Patryk27 2019-04-17 08:56
Tylko proponuje ;) - artur52 2019-04-17 09:05

Pozostało 580 znaków

2019-04-17 08:55
0

PAT i JWT są raczej tematami równoległymi niż rozbieżnymi (możesz mieć PAT realizowane za pomocą JWT) :-)

Personalnie byłbym za PAT - proste w implementacji, jeszcze prostsze w obsłudze.


Pozostało 580 znaków

2019-04-23 16:44
0

Ok, a co wówczas gdy ktoś będzie chciał napisać - np. aplikacje mobilną która umożliwia logowanie? Będzie musiał wpisać swój personal token? :) Czy po prostu zrobimy endpoint który na podstawie loginu czy hasła wygeneruje tokena?

Pierwsze słabe a drugie nieco niebezpieczne. Tu najlepiej sprawdziłoby się OAuth 2.

też jestem za oauth2 - to jest w pewnym rodzaju standard i będzie łatwo napisać integrację (jest już maaasa libów do tego) - no_solution_found 2019-04-24 12:17
w takim wypadku jwt bylby najlepszy, wtedy api mozna uzyc wszedzie i mamy juz info uzytkownika bez robienia endpoint-a typu /me tak jak robi sie to w oauth2 - marcio 2019-04-25 11:41

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0