Как создать безопасную службу RESTful на PHP?
Связь
-
Свободный: Вы и парень в мини-маркете. Вы связываетесь через четко определенный протокол для достижения соответствующих целей - Вы платите деньги, он позволяет Вам выйти с мешком Cheetos. Любой из Вас может быть заменен, не разрушая систему.
-
Трудный: Вы и Ваша жена.
Сцепление
-
Низко: мини-маркет. Вы идете туда для всего от газа до молока к банковскому делу ATM. Товары и услуги имеют мало общего, и удобства наличия их всех в одном месте не может быть достаточно для возмещения получающегося увеличения стоимости и уменьшения по качеству.
-
Высоко: хранилище сыра. Они продают сыр. Ничто иное. Не может разбить их когда дело доходит до сыра все же.
2 ответа
Существует ли учебное пособие, глава книги или статья в блоге, в которой описывается это в единственном экземпляре?
Я могу порекомендовать REST на практике - архитектура гипермедиа системы в качестве руководства для построения HATEOAS систем. У него нет примеров PHP, но он включает в себя полную главу по вопросам веб-безопасности, охватывающую основные HTTP-запросы и аутентификацию дайджеста, OpenID и OAuth, а также векторы атак, о которых следует знать.
Вместо того, чтобы придумывать / создавать ваше решение, я бы использовал одну из многих PHP-фреймворков для сервисов RESTful. http://www.recessframework.org/ довольно всеобъемлющий, хотя вам почти наверняка придется расширить его, чтобы включить аутентификацию.
http://phprestsql.sourceforge.net/ поддерживает аутентификацию «из коробки», но использует HTTPS для шифрования незашифрованных паролей; вы сможете расширить его, когда решите, как обращаться с аутентификацией.
По поводу аутентификации: поскольку REST предназначен для максимально возможного использования стандартов HTTP, я бы рекомендовал использовать механизмы аутентификации HTTP, подробно описанные в http://php.net/manual/en/features. .http-auth.php (а также в документах W3C).