autoryzacja i api key restful

0

Czesc mam kilka pytan czy jest sens sprawdzania w kontrolerze czy dany uzytkownik jest zalogowany i czy ma dostep do danego zasobu?
To znaczy opisze to lepiej.

Powiedzmy ze chcialbym napisac aplikacja mobilna na androida ktora pozwoli mi pisac nowe posty na blogu do tego chce oczywiscie wykorzystac zasoby restful.
Wiec moje pytanie brzmi czy w akcjach moge sprawdzac czy uzytkownik jest zalogowany do mojej strony i czy ma prawa np do dodawaniu artykulow za pomoca moich bibliotek ktore obluguja logowanie + autoryzacje + acl?
Bo patrzac na ta prezentacje(strona 23/24): [url="http://www.slideshare.net/sto[...]secure...i-the-right-way[/url] lub inne tematy na stackoverflow przy zasobach restful nie powinno sie uzywac sesji co nie znaczy ze nie mozna ?!?
Jesli nie powinno to tak dzialac to jak wy to rozwiazujecie?

Co do api key czytalem ze jest to najlpeszy sposob autentykacji jesli chodzi o zasoby restful i mysle ze chyba najlepiej bedzie jesli ten klucz bedzie trzeba wysylac albo jako naglowek lub jako dane ktore potem odbiore w php://input razem z danymi np do stworzenia artykulu.

I czy ten api key wysylac przez email przy rejestracji lub jesli uzytkownik o to zapyta np poprzez jakis widget lub ewentualnie poprzez jakis zasob rest na podstawie username/passwd lub bez?
Lub w dokumentacji jakie dane nasz restful zwraca dla kazdego zasobu?

No ogolnie chcialbym abyscie mi opisali jak wy to wszystko rozwiazujecie bo widzac kody na github-ie nie ma jakiejs tam duzej spojnosci ;)

P.S i czy np moge wysylac cookie z api key przy logowaniu dla uzytkownika i potem robic wszystko na jego podstawie i sprawdzac czy dany user ma wlasnie taki api key w bazie danych?

0

Ja w C# uzywam owin. W php jest Oauth (2).
Odnosnie zasady, zalogowal bym uzytkownika i po zalogowaniu zwrocil bym naglowkiem (po https) klucz dostepu (ktory de facto zapisal bym w bazie obok loginu jako unikatowy klucz wraz z data waznosci). Nastepnie wymagal bym otrzymania tego klucza w naglowku i sprawdzil bym czy klucz jest wazny jak nie zwracal 401

1

Zadnych sesji/cookiesow, ja jeszcze bym dodal do bazy adres IP z ktorego bylo logowanie i sprawdzal bym to wraz z kluczem i data waznosci.

0
Mały Mleczarz napisał(a):

Ja w C# uzywam owin. W php jest Oauth (2).
Odnosnie zasady, zalogowal bym uzytkownika i po zalogowaniu zwrocil bym naglowkiem (po https) klucz dostepu (ktory de facto zapisal bym w bazie obok loginu jako unikatowy klucz wraz z data waznosci). Nastepnie wymagal bym otrzymania tego klucza w naglowku i sprawdzil bym czy klucz jest wazny jak nie zwracal 401

Jesli jest ustawiona flaga api_key dla danej reguly to sprawdzam tez klucz przeslany przez uzytkownika jesli sie nie zgadza zwracam blad 401, oczywiscie kazdy blad ma opis standartowy dla bledu + opis bardziej szczegolowy.

Jesli w regule routingu mam ustawione ze ma byc autentykacja+autoryzacja to sprawdzam login,haslo i grupe uzytkownika na podstawie danych ktore wysylamy za pomoca curl w formacie json/xml/serialize i jesli sie zgadzaja to jest ok i przechodzimy dalej czyli sprawdzam czy grupa uzytkownika posiada prawa dla danego zasobu wszystko to jest ustawione w regulach routingu.

Jesli mamy blad Autentykacji to zwracam blad 401, jesli jednak mamy blad Autoryzacji zwracam blad 403 w przeciwnym razie odpalam akcje restful i zwracam jej dane i status ktory zwraca 200/201 itp.....

$routes['rest'] = array(
    'news' => array(
        'test3' => array(
            'method' => 'any', //lub array('post', 'put')
            'format' => 'uri', //lub xml/json jesli ma byc tylko 1 typ danych, uri zwraca typ danych na podstawie uri
            'status' => 200, //domyslny status jesli nasza akcja nie zwraca wlasnej np pobieranie news'ow za pomoca get wiadomo status 200
            'apiKey' => true, //sprawdzamy api_key true/false
            'resource' => 'news_Admin', //zasob
            'roles' => array(
                'addNews' //akcja
            )
        )
    )
);
ensim napisał(a):

Zadnych sesji/cookiesow, ja jeszcze bym dodal do bazy adres IP z ktorego bylo logowanie i sprawdzal bym to wraz z kluczem i data waznosci.

No wlasnie zrobilem to bez sesji/cookie.
Hmmm co do ip to w sumie nie jest glupi pomysl, aktualizowalbym ip przy kazdym logowaniu i potem sprawdzal czy ip z ostatniego logowania zgadza sie z tym z ktorego pochodzi request?Lub z ip podanym przez header/post?
Date waznosci zostawie w spokoju za duzo zachodu, gra nie warta swieczki.

Ogolnie rzecz biorac server rest juz mam gotowy zostalo mi tylko napisac dokumentacje(dla mnie) i kilka kontrolerow ktore beda sie zajmowac resftul-em dla danego komponentu np News.
Potem chce napisac client restful ktory bedzie sluzyc do zautomatyzowania wysylanie zadan do mojego zasobu Rest

0

Jezeli to nic waznego, to mysle ze to co masz wystarczy, ale IP dodal bym mimo wszystko jak juz daty nie chcesz.

0
ensim napisał(a):

Jezeli to nic waznego, to mysle ze to co masz wystarczy, ale IP dodal bym mimo wszystko jak juz daty nie chcesz.

Czy tak jak chcialem zrobic bedzie dobrze:

Hmmm co do ip to w sumie nie jest glupi pomysl, aktualizowalbym ip przy kazdym logowaniu i potem sprawdzal czy ip z ostatniego logowania zgadza sie z tym z ktorego pochodzi request?Lub z ip podanym przez header/post?

0

Będzie dobrze z drobnym zastrzeżeniem. IP Pobieraj w skrypcie za pomocą $_SERVER['REMOTE_ADDR']. Jeżeli będziesz IP przesyłał od klienta w nagłówkach to ktoś może to podsłuchać i wstrzyknąć ten podsłuchany IP, czyli w zasadzie niepotrzebna byłaby twoja robota sprawdzania adresu....

0

Ok tak tez zrobilem, ogolnie nie obsluguje danych z naglowkoch a za pomoca

file_get_contents("php://input"); 

I odbieram dane jako json/x-www-form-urlencode

0

Raczej jakoś dziwnie niespotykany ten content type:

  • jeżeli to JSON to poprawny nagłówek to application/json lub text/json
  • jezeli to regularny POST to application/x-www-form-urlencoded

Zresztą ważne żebyś wiedział co i jak otrzymujesz żebyś wiedział jak sparsować.

0

Sorry zle sie wyrazilem dane odbieram jako json z naglowkiem application/json lub jako post za pomoca application/x-www-form-urlencoded.
Tutaj jest kod: https://gist.github.com/marcio199226/f9f31d2c3cceb8437af3
Teraz zostalo mi tylko napisac clienta do obslugi tego rest.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0