无需OAuth就可以设计一个安全的REST(Web)API

OAuth非常复杂&＃xff0c;但是考察Amazon的Web服务发现它们并没有使用OAuth&＃xff0c;那么是如何保证REST安全性呢&＃xff1f;

答案在&＃xff1a;HMAC&＃xff0c;说白了就是HASH&＃xff0c;每个客户端第一次发出请求时&＃xff0c;将自己的唯一HASH MAC 和请求包发给服务器&＃xff0c;以后&＃xff0c;服务器就依据这个HMAC来判断客户端的唯一性。

看似比较简单&＃xff0c;却解决REST安全的大问题。

Designing a Secure REST (Web) API without OAuth

下面为网友的提问&＃xff1a;

hi,您好
今天下午看到你的文章 并且看了那片英文文章和英文文章里面的一些参考资料
我这里有些疑问
我还不清楚你所说的唯一性是指什么&＃xff1f;
客户端发送的HMAC是动态的是变的&＃xff0c;不仅仅第一次发送服务端需要记录以后作为一个凭证。同样的是只要在有效的时间内请求相同的http都很得到服务器的相应&＃xff0c;这一点只能通过时间范围来控制重复请求。
HMAC他也是一个hash算法&＃xff0c;目前md5等是可以破解的HMAC不仅仅是由hash所决定的 他还是由私钥决定。HMAC　&＃xff1d; H( K XOR opad, H(K XOR ipad, text)) 。
在v1.0中使用的md5算法 md5(uri&＃43;key)的方式 在v2.0中改进了算法机制。
还有因为在1.0存在安全漏洞 就是 key&＃61;value 和 keyvalu&＃61;e是成立的 &＃xff0c;目前版本也做了改进。
非常希望能和你交流 学习&＃xff0c;我只是一个初学者。wfwq2008#gmail.com 谢谢
并且我看了一下AWS的phpsdk的实现方式&＃xff0c;下面是HMAC在PHP的中的实现

// client $hash &＃61; hash_hmac(&＃39;ripemd160&＃39;, $xml.$time.$clientId, &＃39;secret&＃39;);
Then say I am submitting the following array of data via POST.
Code:
Array
([xml] &＃61;> &＃39;Some XML Data Here&＃39;[expires] &＃61;> &＃39;Unix Timestamp?&＃39;[clientId] &＃61;> &＃39;12345&＃39;[hash] &＃61; > &＃39;b8e7ae12510bdfb1812e463a7f086122cf37e4f7&＃39;
)

//On the server side I would then do something along the lines of the following PHP Code:
$key &＃61; lookupSecret($_POST[&＃39;clientId&＃39;]);
$hash &＃61; hash_hmac(&＃39;ripemd160&＃39;, $_POST[&＃39;xml&＃39;].$_POST[&＃39;time&＃39;].$_POST[&＃39;clientId&＃39;], $key); if($hash &＃61;&＃61;&＃61; $_POST[&＃39;hash&＃39;]){ // proceed } else { sendResponse(401,&＃39;Unauthorized&＃39;);
}

Designing a Secure REST (Web) API without OAuth

http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/

RFC 2104 - HMAC: Keyed-Hashing for Message Authentication

http://www.faqs.org/rfcs/rfc2104.html

Making Secure Requests to Amazon Web Services

http://aws.amazon.com/articles/1928

AWS signature version 1 is insecure

http://www.daemonology.net/blog/2008-12.html