Soluzioni per i certificati client del servizio Web/best practice di autenticazione

Question

Ho un semplice servizio Web a cui gli sviluppatori di API di terze parti possono accedere. L'API segue principalmente i principi REST.

Sono interessato a soluzioni per rendere l'API più sicura richiedendo agli sviluppatori di utilizzare i certificati client. Esistono soluzioni open source o altri suggerimenti sull'implementazione che qualcuno di voi potrebbe aiutare nelle API basate su REST che utilizzano certificati a livello utente per l'autenticazione?

Answer 1

Il mio consiglio generico sarebbe quello di mantenere l'API separata dalle routine di autenticazione. Il tuo server web dovrebbe gestire l'interazione per te.

Le soluzioni per la propria parte dello scenario certificato client dipendono dal proprio ambiente. Non l'hai pubblicato qui, ma sembra che una ricerca su Google mirata ti dia un'idea di cosa è necessario.

Poiché si fornisce un'API ad altre parti, si ha qualche considerazione in merito al supporto dell'ambiente per quegli sviluppatori. Stai andando bene con una base REST e la maggior parte degli ambienti di programmazione interagirà con quelli piuttosto bene.

È probabile che il supporto del certificato client vari in termini di efficienza del supporto in ambienti, piattaforme, ecc. Inoltre, ora si sta incidendo sull'implementazione lato client quando si richiedono i certificati. Questo ti metterà quasi certamente in condizione di richiedere il supporto ai tuoi clienti e di farli funzionare con la tua API. Ciò significa familiarità con altri linguaggi, server Web, framework, ecc.

Answer 2

La libreria HTTP Python supporta client certificates, così come la libreria urllib su cui si trova.