Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
AI
Маркетплейсы
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Екатерина Герасимова
Разработка

Аутентификация/авторизация в API ч.1

Привет! И это моя первая статья на vc. ru. Хочется поделиться видами аутентификации и авторизации в API, в которых, по моему мнению, важно разбираться SA от уровня middle и выше.

Терминология

Для начала вспомним, что аутентификация и авторизация — это абсолютно разные процессы. Чаще всего аутентификацией называют авторизацию. «Я ввел логин и пароль на сайте, а значит прошел авторизацию». Нет. Это аутентификация. Среди этих двух терминов есть еще и идентификация. Давайте разбираться)

Аутентификация - это процесс проверки подлинности клиента, запрашивающего доступ к веб-ресурсам или веб-сервисам. Она необходима для обеспечения безопасной и контролируемой передачи данных между клиентами и серверами (HTTP код 401 в случае не успеха).

Авторизация - это процесс предоставления доступа к определенным ресурсам или функциям системы после успешной аутентификации клиента. Авторизация определяет права доступа и уровни разрешений пользователя или клиента на конкретные операции или ресурсы в системе (HTTP код 403 в случае не успеха).

Идентификация — это процесс определения или установления идентичности клиента или пользователя, обычно на основе предоставленных учетных данных или других идентификационных параметров.

Ключи/токены/протоколы для аутентификации и авторизации

1. Basic Authentication — это один из наиболее простых методов аутентификации. При использовании данного метода клиент отправляет свои учетные данные (обычно имя пользователя и пароль) в заголовке запроса:

Host: example. ru

Authorization: Basic Fkjlcm5hbWU6cGFzc3dvcm1=

В данном примере "Fkjlcm5hbWU6cGFzc3dvcm1=" — это base64-кодированная строка «username и password»

2. Bearer Token Authentication — метод, при котором после успешной аутентификации клиент получает специальный токен, который затем включается в заголовок «Authorization» для каждого запроса к API. Токен может быть получен через процесс авторизации, такой как OAuth 2.0:

Host: example. ru

Authorization: Bearer ghp_txxt4iRxSdHBxgUfRaOOI1jav3

3. API Key Authentication — предполагает использование специального ключа доступа (API key), который обычно передается в заголовке запроса. Этот ключ является уникальным для каждого клиента и используется для идентификации, аутентификации и авторизации клиента при обращении к API Host: example. ru

x-api-key: fkDUekmxinrvddbUBfgyNFO

Basic Authentication прост в реализации, но менее безопасен, поскольку данные пользователя передаются в каждом запросе в открытом виде. Bearer Token Authentication более безопасен, поскольку токены имеют ограниченный срок действия и не требуют передачи учетных данных в каждом запросе. API Key Authentication является простым и быстрым способом аутентификации, особенно для публичных API. Но его важно использовать в сочетании с другими методами безопасности.

Лайк, если полезно)

Продолжение следует…

Начать дискуссию