Beveiliging en REST services

3,485 views
3,357 views

Published on

Beveiliging en REST services tijdens Engineering World 2012.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,485
On SlideShare
0
From Embeds
0
Number of Embeds
1,506
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Beveiliging en REST services

  1. 1. Maurice de Beijer
  2. 2. Waar gaan we het over hebben Waarom beveiligen we REST services HTTP Security Token based security
  3. 3. Wie ben ik Maurice de Beijer. The Problem Solver. Microsoft CSD MVP. DevelopMentor instructor. Twitter: @mauricedb of @HTML5SupportNL Blog: http://msmvps.com/blogs/ theproblemsolver/default.aspx Web: http://www.HTML5Support.nl E-mail: mauricedb@computer.org
  4. 4. Authentication Authentication is the act of confirming the truth of an attribute of a datum or entity.
  5. 5. Authorization Authorization is the function of specifying access rights to resources
  6. 6. ConfidentialityConfidentiality is an ethical principle. In ethics some types of communication between a person and one of these professionals are "privileged" and may not be discussed or divulged to third parties.
  7. 7. HTTP Security HTTPS en SSL/TLS Basic Authentication Forms Authentication Integrated Windows Authentication
  8. 8. HTTPS en SSL/TLS Zorgt er alleen voor dat het transport veilig is  Point to Point  Zegt niets over de client of server Hoe veilig is https://ƤayƤal.com?
  9. 9. Basic Authentication Een van de meest eenvoudige HTTP standaards  Maar wel effectief! Usernaam en wachtwoord staat in de header van het request  Base64 encoded => gebruik HTTPS! GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  10. 10. Forms Authentication Werkt met een Forms Authentication Cookie  Het cookie gaat mee met elk HTTP request Hou rekening met HTTP Session hijacking  Gebruik HTTPS bij elk request!  Niet alleen bij het inloggen
  11. 11. Integrated Windows Authentication Single Sign On  Werkt net als in een website Perfect voor gebruik binnen een AD domain  Maar lastig met gebruikers daar buiten
  12. 12. Token based security OAuth Amazons S3 Authentication Federated security
  13. 13. Three legged OAuth Populair bij veel consumer sites  Twitter  Google  Facebook Er zijn 3 entiteiten bij betrokken Zelden nuttig bij B2B
  14. 14. Three legged Oauth flow
  15. 15. Two legged Oauth flow
  16. 16. Amazons S3 Authentication Gebruikt een HMAC  Hash Message Authentication Code Wordt berekend over het request met een secret key  De server berekent dezelfde HMAC Zowel voor authentication als message tampering  Gebruik HTTPS voor confidentiality GET /photos/puppy.jpg HTTP/1.1 Host: johnsmith.s3.amazonaws.com Date: Mon, 26 Mar 2007 19:37:58 +0000 Authorization: AWS AKIAIOSFODNN7EXAMPLE:frJIUN8DYpKDtOLCwo//yllqDzg=
  17. 17. S3 Authentication - Client
  18. 18. S3 Authentication - Server
  19. 19. Federated security Maakt gebruik van Security Token Service (STS)  De STS doet de authenticatie van de gebruiker  De service ziet alleen de tokens van de STS Kan bv met Windows Azure Access Control Service  Er worden Simple Web Tokens (SWT) gebruikt Werkt prima samen met Windows Identity Foundation (WIF)
  20. 20. Federated security
  21. 21. Conclusie HTTP Security  Eenvoudig en in veel gevallen voldoende  Werkt samen met de beveiliging van een website Token based security  OAuth is vaak niet nodig bij B2B  Federated security kan met SWT tokens  Bijvoorbeeld via ACS en WIF
  22. 22. Vragen?mauricedb@computer.org

×