Базові аутентифікація HTTP та токена носія

В даний час я розробляю REST-API, захищений HTTP-Basic для середовища розробки. Оскільки справжня автентифікація проводиться за допомогою маркера, я все ще намагаюся розібратися, як надіслати два заголовки авторизації.

Я спробував це:

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Authorization: Bearer mytoken123"

Я можу, наприклад, відключити HTTP-аутентифікацію для мого IP, але оскільки я зазвичай працюю в різних середовищах з динамічними IP-адресами, це не є гарним рішенням. То я щось пропускаю?

Спробуйте скористатися цим, щоб натиснути основну автентифікацію за URL-адресою:

curl -i http://username:password@dev.myapp.com/api/users -H "Authorization: Bearer mytoken123"
               ^^^^^^^^^^^^^^^^^^

Якщо вище одного не працює, то ви нічого з цим не маєте. Тому спробуйте наступні замінники.

Ви можете передати маркер під іншим іменем. Тому що ви обробляєте авторизацію зі своєї Заявки. Таким чином, ви можете легко використовувати цю гнучкість для цієї спеціальної мети.

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Application-Authorization: mytoken123"

Зверніть увагу: я змінив заголовок на Application-Authorization. Тож із своєї програми виберіть маркер під цим заголовком і обробіть те, що вам потрібно зробити.

Ще одна річ , яку ви можете зробити, щоб пройти tokenчерез POSTпараметри і захопити значення параметра з боку сервера. Наприклад, передача токена з параметром "curl post":

-d "auth-token=mytoken123"

Стандарт ( https://tools.ietf.org/html/rfc6750 ) говорить, що ви можете використовувати:

• Параметр тіла, закодований формою: Авторизація: Mytoken123
• Параметр запиту URI: access_token = mytoken123

Таким чином, можна передавати багато токенів Bearer з URI, але це не рекомендується (див. Розділ 5 стандарту).

Якщо ви використовуєте зворотний проксі, наприклад nginx між ними, ви можете визначити спеціальний маркер, наприклад X-API-Token .

У nginx ви б переписали його для того, щоб проксі-сервер вище (поточний api) був просто автентичним:

proxy_set_header Authorization $http_x_api_token;

... в той час як nginx може використовувати оригінальний заголовок авторизації для перевірки HTTP AUth.

У мене була подібна проблема - автентифікувати пристрій та користувача на пристрої. Я використовував Cookieзаголовок поряд із Authorization: Bearer...заголовком.

завиток --anyauth

Розповідає curl, щоб самостійно з'ясувати метод аутентифікації та використовувати найбільш захищений, який віддалений сайт вимагає підтримувати. Це робиться, попередньо зробивши запит і перевіривши заголовки відповідей, таким чином, можливо, індукуючи додатковий обхід мережі. Це використовується замість встановлення конкретного методу аутентифікації, який можна зробити з --basic, --digest, --ntlm та --negotiate.

Є ще одне рішення для тестування API на сервері розробки.

• Встановити HTTP Basic Authenticationлише для веб-маршрутів
• Залиште всі маршрути API вільними від аутентифікації

Конфігурація веб-сервера для nginxта Laravelбуде такою:

    location /api {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location / {
        try_files $uri $uri/ /index.php?$query_string;

        auth_basic "Enter password";
        auth_basic_user_file /path/to/.htpasswd;
    }

Authorization: Bearer зробить роботу із захисту сервера розробки від веб-сканерів та інших небажаних відвідувачів.

За допомогою nginx ви можете надіслати обидва маркери, подібні до цього (навіть якщо це проти стандартного):

Authorization: Basic basic-token,Bearer bearer-token

Це працює доти, доки основний маркер спочатку - nginx успішно пересилає його на сервер додатків.

І тоді вам потрібно переконатися, що ваша програма може належним чином витягнути носія з вищевказаного рядка.