REST APIログインパターン

私はREST APIを作成しています。動詞ではなく名詞を使用し、URLに焼き付けられたAPIバージョン、コレクションごとに2つのAPIパス、GET POST PUT DELETEの使用法などを使用して、apigeeの提案に厳密に従っています。

ログインシステムに取り組んでいますが、ユーザーにログインするための適切なREST方法がわかりません。この時点ではセキュリティに取り組んでいません。ログインパターンまたはログインフローのみです。（後で、HMACなどを使用して2ステップのoAuthを追加します）

可能なオプション

• のようなものへのPOST https://api...com/v1/login.json
• のようなものへのPUT https://api...com/v1/users.json
• 私が持っていない何か...

ユーザーのログインに適切なRESTスタイルは何ですか？

Roy T. FieldingおよびRichard N. TaylorによるPrincipled Design of the Modern Web Architecture、つまりすべてのREST用語に由来する一連の作業には、クライアントとサーバーの相互作用の定義が含まれています。

RESTの対話はすべてステートレスです。つまり、各リクエストには、先行するリクエストとは関係なく、コネクタがリクエストを理解するために必要なすべての情報が含まれています。

この制限は4つの機能を実行します。この特定のケースでは、1番目と3番目が重要です。

• 1つ目：リクエスト間でコネクタがアプリケーションの状態を保持する必要がなくなるため、物理リソースの消費が削減され、スケーラビリティが向上します。
• 3つ目：仲介者がリクエストを個別に表示して理解できるようにします。これは、サービスが動的に再配置されるときに必要になる場合があります。

では、セキュリティケースに戻りましょう。すべてのリクエストには必要な情報がすべて含まれている必要があり、承認/認証も例外ではありません。これを達成する方法は？文字通り、すべての要求でワイヤーを介して必要なすべての情報を送信します。

これをアーカイブする方法の例の1つは、ハッシュベースのメッセージ認証コードまたはHMACです。実際には、これは現在のメッセージのハッシュコードをすべてのリクエストに追加することを意味します。暗号化ハッシュ関数と秘密の暗号化キーを組み合わせて計算されたハッシュコード。暗号化ハッシュ関数は事前定義されているか、コードオンデマンド RESTの概念（JavaScriptなど）の一部です。秘密暗号鍵 はリソースとしてサーバーからクライアントに提供される必要があり、クライアントはそれを使用してすべての要求のハッシュコードを計算します。

HMACの実装例はたくさんありますが、次の3つに注意してください。

• Amazon Simple Storage Service（Amazon S3）に対するRESTリクエストの認証
• Mauricelessによる静止に関する回答：「RESTful WCF APIにHMAC認証を実装する方法」
• crypto-js：標準で安全な暗号アルゴリズムのJavaScript実装

実際の仕組み

クライアントが秘密鍵を知っている場合は、リソースを操作する準備ができています。それ以外の場合は、認証されて秘密鍵を取得するために一時的にリダイレクトされ（ステータスコード307一時的なリダイレクト）、元のリソースにリダイレクトされます。この場合、クライアントを認証するためのURLが何であるかを事前に（つまり、どこかにハードコードして）知る必要はなく、このスキーマを時間とともに調整することができます。

これが適切な解決策を見つけるのに役立つことを願っています！

各リクエストのTL; DRログインは、APIセキュリティの実装に必須のコンポーネントではなく、認証です。

セキュリティ全般について話さずにログインに関する質問に答えることは困難です。一部の認証スキームでは、従来のログインはありません。

RESTはセキュリティルールを規定していませんが、実際の最も一般的な実装は、3ウェイ認証を使用したOAuthです（質問で述べたように）。少なくとも各APIリクエストでは、それ自体はログインしていません。3ウェイ認証では、トークンを使用するだけです。

1. ユーザーはAPIクライアントを承認し、長期間有効なトークンの形式でリクエストを行う権限を付与します
2. APIクライアントは、長命のトークンを使用して短命のトークンを取得します。
3. APIクライアントは、リクエストごとに有効期間の短いトークンを送信します。

このスキームにより、ユーザーはいつでもアクセスを取り消すことができます。私が見た実際に公開されているすべてのRESTful APIは、OAuthを使用してこれを実装しています。

ログインに関して問題（および質問）を組み立てる必要があるとは思わないが、APIの一般的な保護について考えてください。

REST APIの認証全般に関する詳細については、次のリソースをご覧ください。

• http://www.infoq.com/news/2010/01/rest-api-authentication-schemes
• REST API認証
• RESTful API認証

RESTの考え方の大部分は、APIを設計するときに、HTTPプロトコルの標準機能をできるだけ多く活用することです。その哲学を認証に適用すると、クライアントとサーバーはAPIの標準HTTP認証機能を利用することになります。

ログイン画面は人間のユーザーの使用例に最適です。ログイン画面にアクセスし、ユーザー/パスワードを提供し、Cookieを設定し、クライアントは今後のすべてのリクエストでそのCookieを提供します。Webブラウザを使用する人間は、個々のHTTPリクエストでユーザーIDとパスワードを提供することはできません。

ただし、REST APIの場合、各リクエストには人間のユーザーに影響を与えることなく資格情報を含めることができるため、ログイン画面とセッションCookieは厳密には必要ありません。また、クライアントがいつでも協力しない場合は、401「無許可」の応答が返されます。 RFC 2617は、HTTPでの認証サポートについて説明しています。

TLS（HTTPS）もオプションであり、相手の公開鍵を検証することにより、すべての要求でサーバー（およびその逆）に対するクライアントの認証を可能にします。さらに、これはボーナスのためにチャンネルを確保します。もちろん、これを行うには、通信の前にキーペアを交換する必要があります。（これは、具体的にはTLSを使用したユーザーの識別/認証に関するものです。公開鍵でユーザーを識別しなくても、TLS / Diffie-Hellmanを使用してチャネルを保護することは常に良い考えです。）

例：OAuthトークンが完全なログイン認証情報であるとします。クライアントがOAuthトークンを取得すると、要求ごとに標準のHTTP認証でユーザーIDとして提供できます。サーバーは、最初の使用時にトークンを検証し、各リクエストで更新される存続可能時間を使用してチェックの結果をキャッシュすることができます。認証が必要なリクエストは401、提供されないと返されます。