Введення пароля при виклику API REST

Припустимо, у мене є API REST, який також використовується для встановлення / скидання паролів. Припустимо також, що це працює через HTTPS-з'єднання. Чи є якась вагома причина не вставити цей пароль у шлях виклику, скажімо також, що я кодую його в BASE64?

Прикладом може бути скидання пароля таким чином:

http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD

Я розумію, що BASE64 - це не шифрування, але я хочу лише захистити пароль для серфінгу через плечі.

Хороший сервер реєструє всі надіслані до нього запити, включаючи URL-адреси (часто, без змінної частини після '?'), Вихідний IP-код, час виконання ... Чи дійсно ви хочете, щоб цей журнал (потенційно прочитаний широкою групою адміністраторів) містив критично захищена інформація як паролі? Base64 не є пробкою проти них.

Те, що ви пропонуєте, не є ані безпечним, ані РЕЗЕРАЦІЙним.

@Netch вже згадував про проблему з журналами, але є й інша проблема в тому, що ви показуєте паролі, що надсилаються HTTP, що робить тривіальним захоплення паролів будь-яким дротяним снайфером або атакою людини в середині.

Коли ви робите запит GET, використовуючи REST, різні елементи в URL-адресі представляють більш дрібнозернисті елементи. Ваша URL-адреса звучить так, як ви повертаєте NEWPASSWD частину OLDPASSWD, що є частиною перезапущеного слова. Це не має ніякого смислового сенсу. GET не слід використовувати для збереження даних.

Ви повинні робити щось подібне:

POST https://www.example.com/user/joe/resetpassword/
{oldpasswd:[data], newpasswd:[data]}

POST тому, що ви записуєте дані, а https - тому що ви не хочете, щоб вони нюхали.

(Це дійсно низький рівень захисту. Абсолютний мінімум, який ви повинні зробити.)

Запропонована схема має проблеми у кількох сферах.

Безпека

URL-шляхи часто реєструються; ставити незахищені паролі на шляху - це погана практика.

HTTP

Інформація про автентифікацію / авторизацію повинна відображатися в заголовку авторизації. Або, можливо, для базованих на веб-переглядачах заголовка Cookie.

ВІДПОВІДНИЙ

Такі дієслова, як resetpasswordу вашій URL-адресі, як правило, явна ознака парадигми передачі стану, що не є представником. URL-адреса повинна представляти ресурс. Що це означає GETresetpassword ? Або ВИДАЛИТИ?

API

Ця схема вимагає завжди знати попередній пароль. Ви, ймовірно, захочете дозволити більше справ; наприклад, пароль втрачено.

Ви можете використовувати базову або дайджест аутентифікацію , що добре зрозумілі схеми.

PUT /user/joe/password HTTP/1.0
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Content-Type: text/plain
Host: www.example.com

NEWPASSWD

Він не ставить надто чутливу інформацію на шляху, і вона дотримується конвенцій HTTP та REST.

Якщо вам потрібно було дозволити якийсь інший режим авторизації (наприклад, якийсь маркер, надісланий через перевірений канал для скидання пароля), ви можете просто використовувати інший заголовок авторизації, не змінюючи нічого іншого.

Крім безпеки, проблема в тому, що це не дуже RESTful підхід.

OLDPASSWD і NEWPASSWD не стоїте ні перед чим у вашій ієрархії ресурсів, а ще гірше, що операція не є безсильною.

Таким чином, ви можете використовувати лише POSTяк своє дієслово, і ви не повинні включати два паролі у ваш ресурсний шлях.

Проблема полягає у тому, щоб у ваших запитах уникати звичайних текстових паролів. Є два варіанти виконання спокійних вимог веб-сервісу.

1. Хеширование на стороні клієнта

• Я думаю, ви зберігаєте ваші паролі, наприклад хеш (пароль + сіль)
• Новий пароль можна засипати сіллю на стороні клієнта
• Це означає: Створіть нову сіль на стороні клієнта, створіть хеш, наприклад хеш (newPassword + newSalt)
• Надішліть новий створений хеш плюс сіль на ваш спокійний веб-сервіс
• Надішліть старий пароль також як хеш (oldPassword + oldSalt)

2. Шифрування

• Створіть ресурс "one time key" (otk) для користувача типу / otk / john
• Цей ресурс повертає захищений випадковий унікальний одноразовий ключ, наприклад kbDlJbmNmQ0Y0SmRHZC9GaWtRMW0ycVJpYzhMcVNZTWlMUXN6ZWxLdTZESFRs та унікальний ідентифікатор, наприклад 95648915125
• Ваша спокійна веб-служба повинна зберігати цей випадковий otk для наступного безпечного спілкування з ідентифікатором 95648915125
• Зашифруйте свій новий і старий пароль за допомогою otk, наприклад AES (з міркувань безпеки слід використовувати два окремі otks для старого та нового пароля)
• Надішліть зашифровані паролі на свій ресурс зміни пароля з ідентифікатором 95648915125
• Одна комбінація otk та ID може працювати лише один раз, тому після зміни пароля її потрібно видалити
• Можливий кращий варіант: Надішліть поточний / старий пароль від Basic-Auth.

Примітка: HTTPS необхідний для обох варіантів!

Які особливості операції скидання пароля?

1. Це щось змінює.
2. Є значення, яке воно встановлено.
3. Лише деякі люди можуть це робити (користувач, адміністратор або будь-яке, можливо, з різними правилами щодо того, як це можна зробити).

Точка 1 тут означає, що ви не можете використовувати GET, вам потрібно або POST щось, що представляє операцію зміни пароля, на URI, що представляє ресурс, який обробляє зміни пароля, або ВИПУСИТИ щось, що представляє новий пароль для URI, що представляє пароль або щось, що представляє (наприклад, користувач), для якого цей пароль є функцією.

Як правило, ми б розмістили POST, не в останню чергу тому, що це може бути незручно ВИПУСКУВАННЯ чогось, що ми не можемо пізніше отримати, і, звичайно, ми не можемо отримати пароль.

Отже, у пункті 2 будуть дані, що представляють новий пароль у тому, що POSTed.

Пункт 3 означає, що нам потрібно авторизувати запит, а це означає, що, якщо користувач є поточним користувачем, нам знадобиться підтвердити поточний пароль (хоча це не обов'язково отримати поточний пароль, якщо, наприклад, виклик на основі хешу використовувався для доведення знань про це, не надсилаючи).

Отже, URI повинен бути чимось на зразок <http://example.net/changeCurrentUserPassword>або<http://example.net/users/joe/changePassword> .

Ми можемо вирішити, що хочемо отримати поточний пароль у даних POST, а також у загальному механізмі авторизації, який використовується.