Your SlideShare is downloading. ×
Politecnico di Milano Facoltà di Ingegneria dellinformazioneAutenticazione in ambito REST OAuth vs Metodi tradizionali   P...
Stato dellarte        Service Oriented Architecture                                                WS Provider            ...
Stato dellarte (2)              REST & Resource Oriented                    Architecture            resource : “any inform...
Web Services Security    SOAP Security    -> WS Security        set di estensioni per implementare integrità e    confiden...
OAuth protocol Come ottenere accessi privilegiati a risorse sul   web senza lutilizzo esplicito delle proprie             ...
OAuth protocol (2)            ○   OAuth v1.0 (2007)                requisiti crittografici stringenti                scars...
Ruby on Rails○    Framework open source per costruire     web applications     “Don’t Repeat Yourself && Convention Over C...
Il nostro lavoro○   Obiettivi    Analisi dei metodi di autenticazione e accesso    ai dati    Valutazione delle differenze...
Mailstat Project                              Web Service che consente ai                              propri utenti di ot...
Ruby Desktop Client    Simula un generico applicativo per laccesso a dati su    Web diverso da un comune web browser    Im...
Risultati e analisi               Double Authentication            USERNAME                                   TOKEN       ...
Risultati e analisi (2)                Criticità di OauthBEARER TOKENS : trasmetto il token in chiaro su uncanale sicuro; ...
Risultati e analisi (3)              Ruby on Rails SecurityStrong password: almeno 30 charsReset della sessione alla scade...
Risultati e analisi (4)        Performance del Web Service                             Time (Milliseconds)                ...
Conclusioni ○   Username/Password     PROs : più semplice da implementare, più veloce nei     tempi di risposta     CONs :...
Upcoming SlideShare
Loading in...5
×

Autenticazione in ambito REST

1,586

Published on

OAuth vs Metodi tradizionali. Progetto per il corso di Tecnologie dei Servizi 1.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,586
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Autenticazione in ambito REST"

  1. 1. Politecnico di Milano Facoltà di Ingegneria dellinformazioneAutenticazione in ambito REST OAuth vs Metodi tradizionali Progetto per il corso di Tecnologie dei Servizi 1 24 Gennaio 2011
  2. 2. Stato dellarte Service Oriented Architecture WS Provider fornisce servizi e implementa la businnes logic WS Requestor richiede uno o più servizi WS Registry “directory” dove pubblicare e cercare la descrizione dei servizi2009/2010 Autenticazione in ambito REST 2
  3. 3. Stato dellarte (2) REST & Resource Oriented Architecture resource : “any information that can be named” (Fielding) Elemento Significato Resource Documento legale PUT CREATE Resource identifier URI GET RETRIEVE Representation File .pdf POST UPDATE Representation metadata Hash del documento DELETE DELETE Data control If modified since xx/xx/xxxx2009/2010 Autenticazione in ambito REST 3
  4. 4. Web Services Security SOAP Security -> WS Security set di estensioni per implementare integrità e confidenzialità dei messaggi da integrare con protocolli di livello applicativo ed estensioni dei singoli Web Services RESTful Security WEB CACHES -> Autenticazione utente Dati statici, -> TLS per le sessioni memorizzati in cache, non -> Certificati possono essere protetti e prelevati allo -> Cookies stesso tempo !!!2009/2010 Autenticazione in ambito REST 4
  5. 5. OAuth protocol Come ottenere accessi privilegiati a risorse sul web senza lutilizzo esplicito delle proprie credenziali !?! OAUTH TOKENSOAuth Authentication FlowsOAuth ProviderOAuth Consumer2009/2010 Autenticazione in ambito REST 5
  6. 6. OAuth protocol (2) ○ OAuth v1.0 (2007) requisiti crittografici stringenti scarsa user experience problemi di scalabilità ○ OAuth v2.0 (2010) nuovi flows bearer tokens firme semplificate short lived tokens2009/2010 Autenticazione in ambito REST 6
  7. 7. Ruby on Rails○ Framework open source per costruire web applications “Don’t Repeat Yourself && Convention Over Configuration”○ MVC pattern per la separazione netta tra dati, logica e visualizzazione 2009/2010 Autenticazione in ambito REST 7
  8. 8. Il nostro lavoro○ Obiettivi Analisi dei metodi di autenticazione e accesso ai dati Valutazione delle differenze, dei pro e dei contro○ Strumenti utilizzati Web Application && Desktop Client2009/2010 Autenticazione in ambito REST 8
  9. 9. Mailstat Project Web Service che consente ai propri utenti di ottenere informazioni e statistiche sui propri account di posta. Implementa un OAuth Provider Realizzato utilizzando il framework RubyOnRails Visualizzazione dei dati in formato .html e .xml2009/2010 Autenticazione in ambito REST 9
  10. 10. Ruby Desktop Client Simula un generico applicativo per laccesso a dati su Web diverso da un comune web browser Implementa un OAuth Consumer Realizzato in Ruby (librerie GTK2 per la grafica) XPath/XQuery per la manipolazione dei dati ricevuti in formato .xml Crittografia RSA e AES2009/2010 Autenticazione in ambito REST 10
  11. 11. Risultati e analisi Double Authentication USERNAME TOKEN + + PASSWORD SECRET Credenziali dellutente Dati di accesso del Client2009/2010 Autenticazione in ambito REST 11
  12. 12. Risultati e analisi (2) Criticità di OauthBEARER TOKENS : trasmetto il token in chiaro su uncanale sicuro; rimuovere la crittografia lato client perpuntare su HTTPS, SSL/TLS può essere un vantaggio se ilservizio accetta solo comunicazioni sicure, altrimenti èaltamente rischioso. Mailstat RSA + AES2009/2010 Autenticazione in ambito REST 12
  13. 13. Risultati e analisi (3) Ruby on Rails SecurityStrong password: almeno 30 charsReset della sessione alla scadenza del timeout e dopo ogni login/logout2009/2010 Autenticazione in ambito REST 13
  14. 14. Risultati e analisi (4) Performance del Web Service Time (Milliseconds) Web Browser Client Desktop Creazione Accesso a Creazione Accesso a sessione risorsa sessione risorsa medie 120 150 800 9002009/2010 Autenticazione in ambito REST 14
  15. 15. Conclusioni ○ Username/Password PROs : più semplice da implementare, più veloce nei tempi di risposta CONs : richiedere le credenziali o memorizzarle, necessità di un sistema di scadenza delle password ○ OAuth PROs : più robusto, non richiede lo scambio esplicito delle credenziali, aggiornamenti automatizzabili CONs : più complicato da implementare, più costoso in termini di risorse server2009/2010 Autenticazione in ambito REST 15

×