क्लाइंट एप्लिकेशन से उपयोगकर्ता प्रमाणीकरण कैसे प्राप्त करें?

मैं एक एप्लिकेशन विकसित कर रहा हूं जो कई उपयोगकर्ताओं का समर्थन करेगा। बात यह है कि मैं ग्राहक / उपयोगकर्ता को प्रमाणित करने में असमर्थ हूं।

मैं http://quickblox.com/ की तरह एक ऐप बना रहा हूं, जहां मैं अपने उपयोगकर्ताओं को क्रेडेंशियल्स दूंगा और वे उन एन एप्लिकेशन को बनाने के लिए उपयोग करेंगे जिनमें वे प्रमाणित होने के लिए अपना उपयोगकर्ता नाम और पासवर्ड नहीं डाल सकते हैं।

मान लेते हैं कि यह अनुसरण करता है। (बस QuickBlox की तरह)

1. उपयोगकर्ता मेरी वेबसाइट पर खाता बनाता है।
2. उपयोगकर्ता एन एपीआई कुंजी बना सकते हैं और क्रेडेंशियल्स स्रावित कर सकते हैं। (कई ऐप्स के लिए)
3. मेरे REST एपीआई के साथ बात करने के लिए उपयोगकर्ता अपने एप्लिकेशन (Android, iOS, जावास्क्रिप्ट आदि ...) में इन क्रेडेंशियल्स का उपयोग करेंगे।
(REST API ने एक्सेस पढ़ा और लिखा है।)

मेरी चिंता?

उपयोगकर्ता अपने क्रेडेंशियल (एपीआई कुंजी और सीक्रेट कुंजी) का निर्माण उन अनुप्रयोगों में करेंगे, अगर किसी को ये चाबियां मिलती हैं और उपयोगकर्ता की नकल करने की कोशिश करते हैं? (APK विघटित करके या सीधे जावास्क्रिप्ट कोड में देख रहे हैं।

क्या मैं कहीं पर गलत हूं?
मैं इस तीन स्तरीय उपयोगकर्ता तंत्र के वास्तुकार के लिए उलझन में हूँ।

मैं पिछले कुछ सालों से REST API को डिजाइन कर रहा हूं। आप बहुत ज्यादा चिंता कर रहे हैं। हाल ही में इस बोर्ड के एक अन्य उपयोगकर्ता ने एक सवाल पूछा है, जहां वह अपने जावास्क्रिप्ट क्लाइंट-साइड कोड में यूआरआई एंडपॉइंट्स को संग्रहीत करने के बारे में चिंतित था ।

जावास्क्रिप्ट डेवलपर पर लागू होने के समान नियम आपके लिए लागू होते हैं। यदि आप बाहर के लोगों को अपने एपीआई को एकीकृत करने की अनुमति देते हैं, तो आपके एपीआई की नियमित वेबसाइट के समान दृश्यता है और आपको इसे उसी तरह से व्यवहार करना चाहिए।

मूल उत्तर से उद्धरण:

जब आप एक वेबसाइट बना रहे हैं और आप नहीं चाहते कि उपयोगकर्ता कुछ करें, तो आप उस कार्यक्षमता को लागू नहीं करते हैं या कुछ उपयोगकर्ताओं को इसका उपयोग करने से मना करते हैं। REST API के साथ जो पब्लिक एंडपॉइंट होना चाहिए, वह बहुत ज्यादा है, आपको इसे पब्लिक वेबसाइट की तरह ट्रीट करना होगा।

आपके REST API को अवैध संचालन की अनुमति देने के लिए पर्याप्त मजबूत होना चाहिए, जैसे कि किसी भिन्न उपयोगकर्ता के डेटा तक पहुंच।

आपको अपने एप्लिकेशन एक्सेस टोकन को केवल उन ऑपरेशंस की अनुमति देने के लिए डिज़ाइन करना चाहिए जिन्हें आप अनुमति देना चाहते हैं। आपके पास पहुँच टोकन के दो प्रकार हो सकते हैं:

• मास्टर टोकन : एप्लिकेशन निर्माता द्वारा उपयोग किया जा सकता है और आपके एपीआई से अधिक कार्यक्षमता प्रदान कर सकता है,
• आवेदन टोकन : टोकन जो वास्तव में अनुप्रयोगों के भीतर संग्रहीत किया जाएगा और केवल आपके एपीआई तक सीमित पहुंच होगी, केवल उन कार्यों के लिए जो आपको या एप्लिकेशन प्रोग्रामर के डेटा को दूषित नहीं कर सकते हैं।

लेकिन क्या कोई स्रोत कोड को डिकंस्ट्रक्ट करता है, आवेदन से टोकन लेता है, पता करता है कि सार्वजनिक एंडपॉइंट्स क्या हैं और आपकी वेब सेवा का दुरुपयोग करते हैं?

जब तक आप सीधे अपने एपीआई का उपभोग करने वाले अनुप्रयोगों के विकास का प्रबंधन नहीं कर रहे हैं, तब तक कुछ भी वास्तव में लोगों को आपके एपीआई को सीधे ऐप से उसी तरह दुरुपयोग करने से रोकता है।

आपकी समस्या एक तकनीकी एक व्यवसाय के रूप में इतनी अधिक नहीं है।

कहते हैं कि आपके पास आपका एपीआई है, जिसे आप अपने ग्राहकों (ऐप डेवलपर्स) को £ 100 की एक फ्लैट दर, असीमित एक्सेस के लिए बेचते हैं।

ठीक है, तो जाहिर है, मैं £ 100 पर आपकी सेवा खरीद सकता हूं और इसे $ 50 प्रत्येक पर 10 लोगों को बेच सकता हूं। आप ऐसा नहीं चाहते हैं! इसलिए आप एक प्रतिबंध के बारे में सोचने की कोशिश करते हैं जो आपको मध्यस्थता के लिए खुले रहने के बिना अपने एपीआई को बेचने देगा।

• यदि आप केवल ऐप्स की संख्या को प्रतिबंधित करते हैं, तो ग्राहक एक एकल ऐप बना सकता है जो अन्य ऐप से कनेक्शन स्वीकार करता है और उन्हें पास करता है।

• यदि आप उपयोगकर्ताओं को फिर से सीमित करते हैं, तो ग्राहक अपने प्रमाणीकरण के पीछे उपयोगकर्ताओं को छिपा सकता है और एकल उपयोगकर्ता बन सकता है।

आपको जो करने की आवश्यकता है वह आपके ग्राहक को प्रत्येक एपीआई कॉल की लागत को पास करने की है। यानी प्रति एपीआई कॉल का शुल्क, या प्रति वर्ष कॉल का कोटा निर्धारित करें।

यह आपके ग्राहकों की मध्यस्थता की इसी समस्या को आगे बढ़ाता है। यह उन्हें अपने उपयोगकर्ताओं को उनकी चाबियाँ चुराने से रोकने के लिए जगह मापने के लिए मजबूर करता है। इस मामले में, अपने आपी को अपने स्वयं के उपयोगकर्ता प्रमाणित एपीआई के पीछे छिपाते हुए।

अन्य जवाबों से लगता है कि उपभोक्ता उपकरणों पर एक ऐप में एक गुप्त भंडारण की समस्या हल नहीं है।

यकीन से यही है।

दो सिद्धांत (कार्यान्वयन विवरण का पालन करेंगे):

1. वास्तविक प्रमाणीकरण अंत बिंदुओं को गुमनाम रूप से जनता के लिए खुला होना चाहिए।
2. सर्वर को किसी तरह क्लाइंट को प्रमाणित करने और एक एपीआई कुंजी प्रदान करने में शामिल होना चाहिए।

यह देखते हुए कि, यदि क्लाइंट क्रेडेंशियल के साथ प्रमाणीकरण अंत बिंदु पर अनुरोध करता है, और सर्वर इसे प्रमाणित करता है, तो सर्वर एक गतिशील अस्थायी टोकन (अस्थायी अर्थ टाइम-आधारित) उत्पन्न कर सकता है । इस टोकन को ग्राहक के भीतर याद किया जाना चाहिए और बाद के अनुरोधों के साथ भेजा जाना चाहिए।

आपको समय-समय पर टोकन को "ताज़ा" करने के लिए एक तंत्र की आवश्यकता होगी, जिसका अर्थ है, एक नया प्राप्त करें। केवल एक REST समापन बिंदु बनाएँ, जो किसी मौजूदा से नया टोकन बनाने की अनुमति देता है, ताकि क्रेडेंशियल से पुन: प्रमाणित होने से बचा जा सके।

यदि आप अंतिम उपयोगकर्ता को स्वयं को पुनः प्रमाणित करने से बचने की कोशिश कर रहे हैं, तो यह प्रमाणीकरण स्थापित होने पर ऐप में एक शुरुआती एक-बार सेटअप हो सकता है।

यह समाधान बस आवेदन बाइनरी के भीतर एम्बेडेड एक स्थिर टोकन स्टोर करने की आवश्यकता से बचा जाता है। एक सफल प्रमाणीकरण के जवाब में सर्वर द्वारा केवल एक टोकन बनाया जाता है। दुर्भावनापूर्ण उपयोगकर्ता के लिए आपके एप्लिकेशन का निरीक्षण करने और अनधिकृत एपीआई एक्सेस प्राप्त करने का प्रयास करने के लिए, उन्हें अभी भी किसी और की तरह प्रमाणित करने की आवश्यकता होगी।

यदि आपके पास अद्वितीय प्रति-ऐप कुंजियाँ हैं, तो आप केवल क्लाइंट द्वारा आरंभ किए गए प्रारंभिक कनेक्शन प्रमाणीकरण के दौरान उपयोग कर सकते हैं, जिसके बाद आप प्रति-ऐप अद्वितीय प्रमाणीकरण टोकन पर स्विच करते हैं।

आपका सर्वर प्रत्येक क्लाइंट ऐप के लिए समय-समय पर (रोल) टोकन बदलता रहता है (समय-समय पर प्लस / माइनस कुछ रैंडम फ़ज़ी / रैंडम डिले, उदाहरण के लिए)। रोलिंग टोकन केवल सर्वर और प्रमाणित क्लाइंट के बीच जाना जाता है।

नए टोकन नियमित उत्तरों पर गुल्लक-समर्थित लौटाए जाते हैं। जब भी उत्तर में एक नया टोकन होता है, तो प्राप्त करने वाले ऐप को बाद के अनुरोधों में इसका उपयोग करने की आवश्यकता होती है।

जब भी किसी क्लाइंट के साथ एक्सचेंज सिंक से बाहर हो जाता है (कुछ प्रकार की प्रोटोकॉल त्रुटि) तो आपका सर्वर पुनः प्रमाणीकरण का अनुरोध करेगा (अगले क्लाइंट अनुरोध के लिए एक त्रुटि उत्तर के माध्यम से, या ग्राहक के अनुरोध पर मान्य प्रतिक्रिया पर गुल्लक-समर्थित। उदाहरण)।

एक रोलिंग टोकन सक्रिय रूप से उपयोग किया जाता है, जबकि ग्राहकों द्वारा शुरू किया गया प्रारंभिक प्रमाणीकरण संदेह के साथ माना जाना चाहिए - यह बहुत अच्छी तरह से एक नकल प्रयास हो सकता है। मैं केवल इसकी अनुमति देता हूं कि यदि एक्सचेंज लंबे समय से अपेक्षित अंतराल के लिए बेकार हो जाता है, जो उदाहरण के लिए, एक नए उदाहरण के साथ क्लाइंट आउटेज / पुनरारंभ के कारण हो सकता है जिसमें रोलिंग टोकन नहीं है।

ग्राहक पक्ष पर टोकन को जारी रखने के लिए यह बेहतर होगा कि एक फिर से शुरू किया गया ग्राहक वहां से जारी रह सकता है जहां उसके पूर्ववर्ती ने छोड़ा - नकल के लिए उद्घाटन को काफी कम कर दिया।

ऐसी योजना कम से कम काफी कठिन नकल कर सकती है - नकल करने वाले ग्राहक को ठीक उसी समय खिड़की की भविष्यवाणी करनी होगी जब अधिकृत ग्राहक सर्वर के लिए अनुरोध भेजने के लिए काफी समय से अनुरोध करना बंद कर दे, यह तय करने के लिए एक नया क्लाइंट प्रमाणीकरण स्वीकार करने के लिए ठीक है। अनुमत विंडो के बाहर इस तरह के अनुरोधों का उपयोग नकल के प्रयासों का पता लगाने के लिए किया जा सकता है और संभवतः कुछ काउंटरमेशर्स (आईपी ब्लैकलिस्टिंग, आदि) शुरू करते हैं।

मैं जो जानता हूं, उससे आपने जो उल्लेख किया है, वह ऐसा करने का एकमात्र तरीका है। कुंजी को संग्रहीत करने वाला एप्लिकेशन निश्चित रूप से एक जोखिम है, लेकिन इसे दरकिनार करने के विभिन्न तरीके हैं। आप कुंजी को संग्रहीत करने के लिए हमेशा कीस्टोर का उपयोग कर सकते हैं, हार्डकोडिंग की तुलना में, इस प्रकार एक बार लॉगिन करने के लिए मजबूर किया जाता है।

इसके अलावा, आपको एक क्लाइंट के लिए एक कुंजी को बांधने पर विचार करना चाहिए, इस प्रकार, यदि कोई नकल करता है, तो आपके पास क्लाइंट, कुंजी और उपयोगकर्ता एजेंटों की जांच करने के लिए एक सुरक्षा परत होनी चाहिए ताकि अनुरोध को तुरंत ब्लॉक किया जा सके। फिर से जारी करने या फिर से आश्वस्त करने के लिए एक उपयोग मामला है कि चाबियाँ नकल नहीं कर रहे हैं।

यदि आप अपने ग्राहकों को अपने ऐप में डालने के लिए अधिकृत टोकन देने पर निर्भर करते हैं, तो किसी व्यक्ति के लिए एप्लिकेशन को रिवर्स करना और उन्हें निकालना हमेशा सैद्धांतिक रूप से संभव होगा। इसे रोकने के लिए आपको एक ऐसे तंत्र की आवश्यकता होगी जिसे क्लाइंट ऐप के भीतर एक रहस्य की आवश्यकता न हो। यह मुश्किल है। हालांकि मैं आपके बारे में सोचने के लिए कुछ विकल्प सुझा सकता हूं।

एक बार जब आप क्रेडेंशियल दे चुके होते हैं, तो आपके पास एक समस्या है कि आपके पास सुरक्षित रूप से संग्रहीत किए जाने पर कोई नियंत्रण नहीं है। इसके अलावा, यदि आपको उपयोगकर्ता को आपके पास क्रेडेंशियल्स भेजने की आवश्यकता है, तो कोई आपके कनेक्शन को MITM कर सकता है और सीधे रिवर्स इंजीनियरिंग ऐप के बारे में परेशान किए बिना टोकन चुरा सकता है।

अपने प्राधिकरण टोकन को निकालने के लिए इसे और अधिक कठिन बनाने का एक तरीका इसे बाधित करना है। यह सिर्फ बार उठाता है, लेकिन यह असंभव नहीं बनाता है, और ऐसा करने के लिए आपको रहस्य पर नियंत्रण बनाए रखना होगा। आप एक पुस्तकालय लागू कर सकते हैं जिसमें गुप्त जानकारी है और प्रत्येक ग्राहक के लिए विशिष्ट है। आप अपने सर्वर के साथ संवाद करने के लिए पुस्तकालय का उपयोग कर सकते हैं और आपको अपने उपयोगकर्ता को गुप्त जानकारी बताने की आवश्यकता भी नहीं हो सकती है, यह सिर्फ पुस्तकालय में एम्बेड किया जा सकता है। यह किसी को अपनी लाइब्रेरी को उल्टा करने की इंजीनियरिंग की समस्या को हल नहीं करता है, लेकिन यह आपको मोटापे के स्तर को नियंत्रित करता है। एक कमी यह है कि एक बार एक व्यक्ति ने पुस्तकालय में तोड़-फोड़ कर दी, तो वे आपकी किसी भी लाइब्रेरी पर हमला कर सकते हैं, जब तक कि आप कोड नहीं लिखते हैं जो प्रत्येक लाइब्रेरी को काफी अलग बनाता है। यह समस्याओं का अपना सेट पेश करता है।

यह आपके प्रश्न के दायरे से थोड़ा भटक सकता है, लेकिन यह आपके टोकन की सुरक्षा से संबंधित है इसलिए मैं इसका उल्लेख करूंगा। तार पर टोकन की तुच्छ चोरी को रोकने के लिए, आप संभवतः सीधे टोकन नहीं भेजना चाहते हैं, इसके बजाय आप एचएमएसी फ़ंक्शन का उपयोग करके ट्रैफ़िक पर हस्ताक्षर कर सकते हैं। आप सर्वर पर संदेश के HMAC की गणना करके और क्लाइंट से भेजे गए HMAC के खिलाफ तुलना करके संदेश की वैधता की जांच कर सकते हैं। आप टोकन को HMAC फ़ंक्शन की कुंजी के रूप में उपयोग करेंगे, ताकि टोकन जानने वाला कोई व्यक्ति ट्रैफ़िक साइन कर सके। यह आपके टोकन की सुरक्षा के लिए बेहतर है क्योंकि आप इसे सीधे सर्वर पर नहीं भेजते हैं, इसलिए इसे सीधे इंटरसेप्ट और चोरी नहीं किया जा सकता है। HMACS की अधिक जानकारी के लिए यह प्रश्न देखें: /security/20129/how-and-when-do-i-use-hmac/20301

कोई भी सुरक्षा समाधान अभेद्य नहीं होगा, आपको यह तय करना होगा कि इस संभावना को लागू करने में आपको कितना खर्च आएगा और समझौता होने की लागत।

खुद को उद्धृत करना:

मैं यह पता लगाने में असमर्थ हूं कि क्लाइंट / उपयोगकर्ता को कैसे प्रमाणित किया जाए ... जिसमें वे प्रमाणित होने के लिए अपना उपयोगकर्ता नाम और पासवर्ड नहीं डाल सकते।

अब यह एक विरोधाभास सा है, है ना? ;)

जैसा कि दूसरों ने कहा, आप नहीं कर सकते। यदि कोई एप्लिकेशन API कुंजी का उपयोग करता है, तो कोई इसे कुंजी के रूप में उपयोग करने के लिए कह सकता है और इसे भी उपयोग कर सकता है।

अतिरिक्त उचित उपयोगकर्ता प्रमाणीकरण की आवश्यकता के अलावा, आप केवल नुकसान को सीमित कर सकते हैं:

• श्वेतसूची / आईपी को ब्लैक लिस्ट करना
• थ्रॉटलिंग
• "असामान्य गतिविधि" का पता लगाना और उसका स्रोत
• आसान कुंजी नवीकरण