Q&A
詳しく教えていただきありがとうございます。
Basic認証は実装が簡単だったので昨日プログラム実装してで確認してみました。
OAuth2などの認証はもう少し勉強してみます
現在、WEBのREST APIの勉強を行っています。
概念やURLの使い方などは理解したのですが、特定のユーザのみが使えるデータやユーザ認証が必要な場合の動きがわかりません。
ステートレスな通信を行うということは、毎回クライアントからのGETなどのメッセージ内部に、ユーザIDやパスワードを含めた状態でサーバとの通信を行うイメージなのでしょうか?
プログラムレベルで知りたいというよりは、概念を知りたいと思っています。 参考にできるサイトなどをご存知の方がいましたら教えていただけないでしょうか?
回答2件
0
JWTで調べてみてください。Cookieの代わりのステートレスな認証手段として用いることができます。
発行される署名はIDや有効期限などの情報を持っているので、サーバ側で何かを記録しなくても使うことができます。ただし有効期限を早めることはできないので、実質的には有効であるトークン一覧をデータベースなどに持っておく必要があります。
投稿2017/04/13 02:48
総合スコア5223
0
ベストアンサー
方法としては幾つか考えられますが、大きくは3つ
- Basic認証(ダイジェスト認証)を使用する
GET /api HTTP/1.1 Host: www.hogehoge.org Authorization: Basic ABcdeFGhijklMNOpQRSTUvWxYX==
https://tools.ietf.org/html/rfc7235
- Cookieを使う
GET /api HTTP/1.1 Host: www.hogehoge.org Cookie: SessionID=abcdefghijklmn; Permission=hoge
https://tools.ietf.org/html/rfc6265
- Bearer Tokenを使う
GET /api HTTP/1.1 Host: www.hogehoge.org Authorization: Bearer ab_cd.EfG-H.IJkL
https://tools.ietf.org/html/rfc6750
があります。
Cookieを使うことは「ステートレスか?」と言われると???ですが・・。
現状の主流は Bearer Tokenを使う方法ではないでしょうか。
更に、Bearer Tokenの場合のTokenの発行方法としては
- ユーザの管理ページ(WEB上)でTokenを発行する
- OAuthにて認証を行い、Tokenを発行する
が考えられます。
また、Tokenに署名を施す Json Web Token(JWT) という規格もありますので
https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-32
参考にしてみたらいかがでしょうか。
投稿2017/04/14 04:05
総合スコア15898
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。