Beveiliging en REST services
Upcoming SlideShare
Loading in...5
×
 

Beveiliging en REST services

on

  • 3,354 views

Beveiliging en REST services tijdens Engineering World 2012.

Beveiliging en REST services tijdens Engineering World 2012.

Statistics

Views

Total Views
3,354
Views on SlideShare
1,848
Embed Views
1,506

Actions

Likes
0
Downloads
1
Comments
0

6 Embeds 1,506

http://msmvps.com 1464
http://feeds.feedburner.com 36
http://tip.gr 2
http://translate.googleusercontent.com 2
http://www.dataclips.com 1
http://outswindling8.slorf.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Beveiliging en REST services Beveiliging en REST services Presentation Transcript

  • Maurice de Beijer
  • Waar gaan we het over hebben Waarom beveiligen we REST services HTTP Security Token based security
  • Wie ben ik Maurice de Beijer. The Problem Solver. Microsoft CSD MVP. DevelopMentor instructor. Twitter: @mauricedb of @HTML5SupportNL Blog: http://msmvps.com/blogs/ theproblemsolver/default.aspx Web: http://www.HTML5Support.nl E-mail: mauricedb@computer.org
  • Authentication Authentication is the act of confirming the truth of an attribute of a datum or entity.
  • Authorization Authorization is the function of specifying access rights to resources
  • ConfidentialityConfidentiality is an ethical principle. In ethics some types of communication between a person and one of these professionals are "privileged" and may not be discussed or divulged to third parties.
  • HTTP Security HTTPS en SSL/TLS Basic Authentication Forms Authentication Integrated Windows Authentication
  • HTTPS en SSL/TLS Zorgt er alleen voor dat het transport veilig is  Point to Point  Zegt niets over de client of server Hoe veilig is https://ƤayƤal.com?
  • Basic Authentication Een van de meest eenvoudige HTTP standaards  Maar wel effectief! Usernaam en wachtwoord staat in de header van het request  Base64 encoded => gebruik HTTPS! GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  • Forms Authentication Werkt met een Forms Authentication Cookie  Het cookie gaat mee met elk HTTP request Hou rekening met HTTP Session hijacking  Gebruik HTTPS bij elk request!  Niet alleen bij het inloggen
  • Integrated Windows Authentication Single Sign On  Werkt net als in een website Perfect voor gebruik binnen een AD domain  Maar lastig met gebruikers daar buiten
  • Token based security OAuth Amazons S3 Authentication Federated security
  • Three legged OAuth Populair bij veel consumer sites  Twitter  Google  Facebook Er zijn 3 entiteiten bij betrokken Zelden nuttig bij B2B
  • Three legged Oauth flow
  • Two legged Oauth flow
  • Amazons S3 Authentication Gebruikt een HMAC  Hash Message Authentication Code Wordt berekend over het request met een secret key  De server berekent dezelfde HMAC Zowel voor authentication als message tampering  Gebruik HTTPS voor confidentiality GET /photos/puppy.jpg HTTP/1.1 Host: johnsmith.s3.amazonaws.com Date: Mon, 26 Mar 2007 19:37:58 +0000 Authorization: AWS AKIAIOSFODNN7EXAMPLE:frJIUN8DYpKDtOLCwo//yllqDzg=
  • S3 Authentication - Client
  • S3 Authentication - Server
  • Federated security Maakt gebruik van Security Token Service (STS)  De STS doet de authenticatie van de gebruiker  De service ziet alleen de tokens van de STS Kan bv met Windows Azure Access Control Service  Er worden Simple Web Tokens (SWT) gebruikt Werkt prima samen met Windows Identity Foundation (WIF)
  • Federated security
  • Conclusie HTTP Security  Eenvoudig en in veel gevallen voldoende  Werkt samen met de beveiliging van een website Token based security  OAuth is vaak niet nodig bij B2B  Federated security kan met SWT tokens  Bijvoorbeeld via ACS en WIF
  • Vragen?mauricedb@computer.org