अगर हमें HTTPS है तो हमें REST सेवा सुरक्षा की आवश्यकता क्यों है

मैं इस उत्कृष्ट लेख http://www.thebuzzmedia.com/designing-a-secure-rest-ap-without-oauth-authentication/ का संदर्भ देता हूं, जो वेब सेवा के लिए सुरक्षा जैसे अमेज़ॅन की बात करता है। हालाँकि मुझे टीम में एक सवाल पूछा गया था कि अगर हमें पहले से ही HTTPS का उपयोग करना है तो हमें इसकी आवश्यकता क्यों है। मैं जवाब देने में असमर्थ था क्योंकि यह वास्तव में मुझे लगता है कि वे सही हो सकते हैं, हालांकि आंत मुझे अन्यथा बताती है।

REST सेवाएँ प्रदान करने के दौरान भी ऐसे स्थान हैं जहाँ HTTPS काम नहीं कर सकता है? 3 पार्टी वेबसाइटों की तरह?

यदि किसी को सार्वजनिक सेवाओं पर वेब सेवा हासिल करने का अनुभव है, तो कृपया अपने अनुभव के साथ कुछ प्रकाश डालें।

अग्रिम में धन्यवाद।

संपादित करें: स्पष्ट करने के लिए मैं उपयोगकर्ता प्रमाणीकरण की नहीं बल्कि ग्राहक प्रमाणीकरण की बात कर रहा हूं। उपयोगकर्ता प्रमाणीकरण को HTTPS + REST पर सादा पाठ माना जा सकता है।

मेरी चिंता यह है कि यह अभी भी किसी को भी मेरे क्लाइंट के बिना वेब सेवा का उपयोग करने की अनुमति देता है क्योंकि सब कुछ प्लेय पाठ है हालांकि HTTPS से अधिक क्लाइंट अंत बिंदु अभी भी क्लाइंट एप्लिकेशन के बिना मेरी वेब सेवा का उपयोग कर सकता है।

अगर हमें पहले से ही HTTPS का उपयोग करना है, तो हमें Gmail - या उपयोगकर्ता खातों के साथ कोई अन्य साइट देने की आवश्यकता क्यों है? उत्तर वही है जो आपके प्रश्न का उत्तर है।

HTTPS प्रदान करता है, सबसे पहले और सबसे महत्वपूर्ण, सर्वर और क्लाइंट के बीच एक एन्क्रिप्टेड कनेक्शन।

HTTPS में निहित विश्वास प्रमुख सर्टिफिकेट अथॉरिटी पर आधारित है जो ब्राउज़र सॉफ़्टवेयर में पहले से इंस्टॉल आता है (यह "I ट्रस्ट सर्टिफिकेट अथॉरिटी (उदाहरण के लिए VeriSign / Microsoft / etc।) यह कहने के बराबर है कि मुझे किस पर भरोसा करना चाहिए"।

जब तक सर्वर प्रत्येक उपयोगकर्ता को एक प्रमाण पत्र नहीं देता , तब तक सर्वर क्लाइंट पर कुछ अन्य प्रमाणीकरण विधि के बिना भरोसा नहीं कर सकता।

एचटीटीपीएस ईव्सड्रॉपिंग और "मैन इन द मिडल" हमलों को रोकने में बहुत अच्छा है। चूंकि यह एक सत्र के लिए सभी ट्रैफ़िक को एन्क्रिप्ट करता है।

लेकिन जैसा कि ज्यादातर लोग डिफ़ॉल्ट प्रमाणपत्रों का उपयोग कर रहे हैं जो उनके ब्राउज़र के साथ आए थे और उन्हें पता नहीं है कि कैसे अपना स्वयं का व्यक्तिगत प्रमाण पत्र बनाएं या इसका उपयोग करने के लिए ब्राउज़र को कॉन्फ़िगर करें।

यह उपयोगकर्ता प्रमाणीकरण के लिए HTTPS को बहुत बेकार बनाता है, जैसे कि ईव्सड्रॉपिंग आदि से प्रमाणीकरण संवाद की रक्षा करना।

HTTPS चैनल को सुरक्षित करने के बारे में है, यह साबित नहीं करने के लिए कि कॉलर कौन है, या कई अन्य चीजों पर विचार करने की आवश्यकता है। प्रमाणीकरण, प्राधिकरण और परिवहन परत एन्क्रिप्शन केवल एक छोटा सा हिस्सा है जिसे आपको विचार करने की आवश्यकता है। वेब एप्लिकेशन से संबंधित कई ज्ञात कमजोरियाँ REST एपिस पर बहुत अधिक लागू होती हैं। आपको इनपुट सत्यापन, सत्र क्रैकिंग, अनुचित त्रुटि संदेश, आंतरिक कर्मचारी कमजोरियों और इतने पर विचार करना होगा। यह एक बड़ा विषय है।

रॉबर्ट

आप क्लाइंट एसएसएल प्रमाणपत्रों का दृष्टिकोण अपना सकते हैं और सुरक्षा को एपीआई से अलग कर सकते हैं। इस दृष्टिकोण के लिए बड़ा नकारात्मक यह है कि ऑपरेशन ओवरहेड जो अधिक महंगा हो जाएगा और अधिक से अधिक ग्राहक आपकी एपीआई का उपभोग करेंगे।

किसी भी दर पर, सार्वजनिक रूप से उपभोग की जाने वाली अधिकांश सेवाओं के लिए HTTP मूल प्रमाणीकरण ठीक है।