Beveiliging en REST services

Maurice de Beijer

Waar gaan we het over hebben Waarom beveiligen we REST services HTTP Security Token based security

Wie ben ik Maurice de Beijer. The Problem Solver. Microsoft CSD MVP. DevelopMentor instructor. Twitter: @mauricedb of @HTML5SupportNL Blog: http://msmvps.com/blogs/ theproblemsolver/default.aspx Web: http://www.HTML5Support.nl E-mail: mauricedb@computer.org

Authentication Authentication is the act of confirming the truth of an attribute of a datum or entity.

Authorization Authorization is the function of specifying access rights to resources

ConfidentialityConfidentiality is an ethical principle. In ethics some types of communication between a person and one of these professionals are "privileged" and may not be discussed or divulged to third parties.

HTTP Security HTTPS en SSL/TLS Basic Authentication Forms Authentication Integrated Windows Authentication

HTTPS en SSL/TLS Zorgt er alleen voor dat het transport veilig is  Point to Point  Zegt niets over de client of server Hoe veilig is https://ƤayƤal.com?

Basic Authentication Een van de meest eenvoudige HTTP standaards  Maar wel effectief! Usernaam en wachtwoord staat in de header van het request  Base64 encoded => gebruik HTTPS! GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Forms Authentication Werkt met een Forms Authentication Cookie  Het cookie gaat mee met elk HTTP request Hou rekening met HTTP Session hijacking  Gebruik HTTPS bij elk request!  Niet alleen bij het inloggen

Integrated Windows Authentication Single Sign On  Werkt net als in een website Perfect voor gebruik binnen een AD domain  Maar lastig met gebruikers daar buiten

Token based security OAuth Amazons S3 Authentication Federated security

Three legged OAuth Populair bij veel consumer sites  Twitter  Google  Facebook Er zijn 3 entiteiten bij betrokken Zelden nuttig bij B2B

Three legged Oauth flow

Two legged Oauth flow

Amazons S3 Authentication Gebruikt een HMAC  Hash Message Authentication Code Wordt berekend over het request met een secret key  De server berekent dezelfde HMAC Zowel voor authentication als message tampering  Gebruik HTTPS voor confidentiality GET /photos/puppy.jpg HTTP/1.1 Host: johnsmith.s3.amazonaws.com Date: Mon, 26 Mar 2007 19:37:58 +0000 Authorization: AWS AKIAIOSFODNN7EXAMPLE:frJIUN8DYpKDtOLCwo//yllqDzg=

S3 Authentication - Client

S3 Authentication - Server

Federated security Maakt gebruik van Security Token Service (STS)  De STS doet de authenticatie van de gebruiker  De service ziet alleen de tokens van de STS Kan bv met Windows Azure Access Control Service  Er worden Simple Web Tokens (SWT) gebruikt Werkt prima samen met Windows Identity Foundation (WIF)

Federated security

Conclusie HTTP Security  Eenvoudig en in veel gevallen voldoende  Werkt samen met de beveiliging van een website Token based security  OAuth is vaak niet nodig bij B2B  Federated security kan met SWT tokens  Bijvoorbeeld via ACS en WIF

Vragen?mauricedb@computer.org

http://msmvps.com	1455
http://feeds.feedburner.com	36
http://tip.gr	2
http://translate.googleusercontent.com	2
http://www.dataclips.com	1

Beveiliging en REST services

by Maurice Beijer

Accessibility

Categories

Upload Details

Usage Rights

5 Embeds 1,496

Statistics