curlを使ってAPIサーバにリクエストを送られた場合の対処法

API設計をし、curlでリクエストを送りPOSTやGETなどの処理ができるようにしています。
getだとかは、なんら問題ないと思うのですが。
例えば認証機能をもたせた設計にしている場合、勝手に個人情報を編集されたりする可能性があると思います。

この時の対処法としては、サーバサイドでセッションを確認してログインしたユーザとサーバに問い合わせたユーザが同一であるという確認を取る方法があるかなと思います。どうでしょうか？

アドバイスお願いします。

行動規範の内容に同意します

回答2件

そうですね。そういう機構がないと、curlに限らず、htmlでpostするformを作ってしまえばいろいろできてしまいそうです。

ただセッションとなるとクッキーが必要になりますし、ログインというアクションをとってそのセッションIDがログイン済みという状態にする必要が出て来ると思います。

httpsでOAuthなどの認証トークンを一緒に送るというのが多いんじゃないですかね。
twitterだとかgistだとかをcurlでやっているサンプルを見てみるのが参考になるんじゃないかと思います。

投稿2016/08/18 17:36

総合スコア2604

要件がいまいちわからないので具体的な回答ができませんが、
なりすましを防ぐ方法として回答します。

簡単な方法は他の方が回答している通り認証トークンです。

もっと厳密にするなら、クライアント証明書を利用する方法もあります。

投稿2016/08/19 00:54

総合スコア6621

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.47%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問