REST API認証

サーバー上でホストされるアプリケーションを構築しています。アプリケーション用のAPIを構築して、任意のプラットフォーム（Webアプリ、モバイルアプリ）とのやり取りを容易にしたいと考えています。私が理解していないのは、REST APIを使用するときに、ユーザーを認証する方法です。

たとえば、ユーザーがログインした後、フォーラムトピックを作成したいとします。ユーザーがすでにログインしていることをどのようにして知ることができますか？

HTTP基本認証またはダイジェスト認証を使用できます。その上でSSLを使用してユーザーを安全に認証できますが、APIが少し遅くなります。

• 基本認証-ユーザー名とパスワードにBase64エンコードを使用します
• ダイジェスト認証-ユーザー名とパスワードをハッシュしてから、ネットワーク経由で送信します。

OAuthは最高の性能を発揮します。oAuthが提供する利点は、取り消し可能または期限切れのトークンです。実装方法については以下を参照してください：コメントからの作業リンク：https : //www.ida.liu.se/~TDP024/labs/hmacarticle.pdf

たとえば、ユーザーがログインしている場合、ユーザーがフォーラムのトピックを作成したいとします。ユーザーがすでにログインしていることをどのようにして知ることができますか？

考えてみてください-この現在のリクエストは認証されたユーザーからのものであることを「Create Forum」APIに伝えるハンドシェイクが必要です。REST APIは通常ステートレスであるため、状態はどこかに永続化する必要があります。REST APIを使用するクライアントは、その状態を維持する責任があります。通常、これは、ユーザーがログインしたときからパススルーされるトークンの形式です。トークンが適切であれば、リクエストは適切です。

Amazon AWSが認証を行う方法を確認します。これは、あるAPIから別のAPIへの「引き渡し」の完璧な例です。

*以前の回答に実際的な対応を追加することを考えました。Apache Shiro（または任意の認証/承認ライブラリ）を試してください。結論として、カスタムコーディングは避けてください。お気に入りのライブラリを統合したら（私はApache Shiroを使用しています）、次のことができます。

1. 以下のようなログイン/ログアウトAPIを作成します/api/v1/loginと、api/v1/logout
2. これらのログインおよびログアウトAPIで、ユーザーストアを使用して認証を実行します。
3. 結果はJSESSIONID、クライアント（Web、モバイルなど）に送り返されるトークン（通常は）です。
4. この時点以降、クライアントが行う以降のすべての呼び出しには、このトークンが含まれます
5. 次の呼び出しが呼び出されたAPIに対して行われたとしましょう /api/v1/findUser
6. このAPIコードが最初に行うことは、トークンを確認することです（「このユーザーは認証されていますか？」）
7. 答えがNOとして返される場合は、HTTP 401ステータスをクライアントにスローします。彼らに任せてください。
8. 答えが「はい」の場合、要求されたユーザーを返すために続行します

それで全部です。お役に立てれば。

1. HTTP基本認証を使用してクライアントを認証しますが、ユーザー名/パスワードは一時的なセッショントークンとしてのみ扱います。
   
   セッショントークンは、すべての HTTPリクエストに添付される単なるヘッダーですAuthorization: Basic Ym9ic2Vzc2lvbjE6czNjcmV0
   
   。例：上記の文字列Ym9ic2Vzc2lvbjE6czNjcmV0は、Base64でエンコードされた文字列「bobsession1：s3cret」（ユーザー名/パスワード）です。

2. 上記の一時的なセッショントークンを取得するにhttp://mycompany.com/apiv1/loginは、マスターユーザー名とマスターパスワードを入力として取り、サーバー側で一時的なHTTP基本認証のユーザー名/パスワードを作成し、トークンを返すAPI関数（例：）を提供します。 Ym9ic2Vzc2lvbjE6czNjcmV0）。このユーザー名/パスワードは一時的なもので、20分程度で期限切れになります。

3. セキュリティを強化するには、情報がプレーンテキストで転送されないように、RESTサービスがHTTPS経由で提供されるようにします

Javaを使用している場合、Spring Securityライブラリは上記のメソッドを実装するための優れたサポートを提供します

最善のアプローチはOAuth2を使用することだと思います。それをグーグルすると、あなたはそれを設定するのに役立つ多くの有用な投稿を見つけるでしょう。

これにより、WebアプリやモバイルアプリからAPIのクライアントアプリケーションを簡単に開発できるようになります。

お役に立てば幸いです。

私はJWT認証を使用しています。私のアプリケーションでは問題なく動作します。

ユーザーの資格情報を必要とする認証方法があります。このメソッドは資格情報を検証し、成功した場合はアクセストークンを返します。

このトークンは、リクエストのヘッダーでWeb APIの他のすべてのメソッドに送信する必要があります。

実装は非常に簡単で、テストも非常に簡単です。