Temel HTTP ve Taşıyıcı Belirteci Kimlik Doğrulaması

Şu anda geliştirme ortamı için HTTP-Temel korumalı bir REST-API geliştiriyorum. Gerçek kimlik doğrulama bir belirteç aracılığıyla yapıldığından, hala iki yetkilendirme başlığının nasıl gönderileceğini anlamaya çalışıyorum.

Bunu denedim:

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Authorization: Bearer mytoken123"

Örneğin IP'm için HTTP Kimlik Doğrulamasını devre dışı bırakabilirim, ancak genellikle dinamik IP'lerle farklı ortamlarda çalıştığım için bu iyi bir çözüm değil. Yani bir şey mi kaçırıyorum?

Url'de temel kimlik doğrulamasını göndermek için bunu deneyin:

curl -i http://username:password@dev.myapp.com/api/users -H "Authorization: Bearer mytoken123"
               ^^^^^^^^^^^^^^^^^^

Yukarıdakilerden biri işe yaramazsa, onunla hiçbir ilginiz yoktur. Bu yüzden aşağıdaki alternatifleri deneyin.

Jetonu başka bir isim altında geçirebilirsiniz. Çünkü uygulamanızdan yetkilendirme yapıyorsunuz. Böylece bu esnekliği bu özel amaç için kolayca kullanabilirsiniz.

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Application-Authorization: mytoken123"

Başlığı olarak değiştirdiğime dikkat edin Application-Authorization. Böylece, uygulamanızdan bu başlığın altındaki jetonu yakalayın ve yapmanız gerekenleri işleyin.

Yapabileceğiniz diğer bir şey tokende POSTparametrelerin üzerinden geçmek ve parametrenin değerini Sunucu tarafından almaktır. Örneğin curl post parametresiyle belirteç iletmek:

-d "auth-token=mytoken123"

Standart ( https://tools.ietf.org/html/rfc6750 ) şunları kullanabileceğinizi söylüyor:

• Form Kodlu Gövde Parametresi: Yetki: Bearer mytoken123
• URI Sorgu Parametresi: access_token = mytoken123

Dolayısıyla, URI ile birçok Taşıyıcı Token'ı geçirmek mümkündür, ancak bunu yapmak önerilmez (standartta bölüm 5'e bakın).

Arada nginx gibi bir ters proxy kullanıyorsanız, gibi özel bir belirteç tanımlayabilirsiniz X-API-Token.

Nginx'te, yukarı akış proxy'si (kalan api'niz) yalnızca kimlik doğrulaması için yeniden yazarsınız:

proxy_set_header Authorization $http_x_api_token;

... nginx, HTTP AUth'u kontrol etmek için orijinal Yetkilendirme başlığını kullanabilir.

Benzer bir sorun yaşadım - cihazda ve cihazda kullanıcı kimliğini doğrulayın. Bir Cookiebaşlığın yanında bir Authorization: Bearer...başlık kullandım.

curl --anyauth

Curl'e kimlik doğrulama yöntemini kendi başına bulmasını ve uzak sitenin desteklediğini iddia ettiği en güvenli yöntemi kullanmasını söyler. Bu, ilk önce bir istek yaparak ve yanıt başlıklarını kontrol ederek, dolayısıyla muhtemelen fazladan bir ağ gidiş-dönüşü tetikleyerek yapılır. Bu, --basic, --digest, --ntlm ve --negotiate ile yapabileceğiniz belirli bir kimlik doğrulama yöntemi ayarlamak yerine kullanılır.

Geliştirme sunucusunda API'leri test etmek için başka bir çözüm var.

• HTTP Basic AuthenticationYalnızca web rotaları için ayarla
• Tüm API yollarını kimlik doğrulamasından arındırın

Web sunucusu yapılandırması nginxve Laravelbunun gibi olacaktır:

    location /api {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location / {
        try_files $uri $uri/ /index.php?$query_string;

        auth_basic "Enter password";
        auth_basic_user_file /path/to/.htpasswd;
    }

Authorization: Bearer geliştirme sunucusunu web tarayıcılarına ve diğer istenmeyen ziyaretçilere karşı koruma görevini yerine getirecektir.

Nginx ile her iki jetonu da şu şekilde gönderebilirsiniz (standarda aykırı olsa bile):

Authorization: Basic basic-token,Bearer bearer-token

Bu, temel belirteç ilk olduğu sürece çalışır - nginx bunu başarıyla uygulama sunucusuna iletir.

Ve sonra, uygulamanızın Taşıyıcıyı yukarıdaki dizeden düzgün bir şekilde çıkarabildiğinden emin olmanız gerekir.