Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Beveiliging en REST services

3,748 views

Published on

Beveiliging en REST services tijdens Engineering World 2012.

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

Beveiliging en REST services

  1. 1. Maurice de Beijer
  2. 2. Waar gaan we het over hebben Waarom beveiligen we REST services HTTP Security Token based security
  3. 3. Wie ben ik Maurice de Beijer. The Problem Solver. Microsoft CSD MVP. DevelopMentor instructor. Twitter: @mauricedb of @HTML5SupportNL Blog: http://msmvps.com/blogs/ theproblemsolver/default.aspx Web: http://www.HTML5Support.nl E-mail: mauricedb@computer.org
  4. 4. Authentication Authentication is the act of confirming the truth of an attribute of a datum or entity.
  5. 5. Authorization Authorization is the function of specifying access rights to resources
  6. 6. ConfidentialityConfidentiality is an ethical principle. In ethics some types of communication between a person and one of these professionals are "privileged" and may not be discussed or divulged to third parties.
  7. 7. HTTP Security HTTPS en SSL/TLS Basic Authentication Forms Authentication Integrated Windows Authentication
  8. 8. HTTPS en SSL/TLS Zorgt er alleen voor dat het transport veilig is  Point to Point  Zegt niets over de client of server Hoe veilig is https://ƤayƤal.com?
  9. 9. Basic Authentication Een van de meest eenvoudige HTTP standaards  Maar wel effectief! Usernaam en wachtwoord staat in de header van het request  Base64 encoded => gebruik HTTPS! GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  10. 10. Forms Authentication Werkt met een Forms Authentication Cookie  Het cookie gaat mee met elk HTTP request Hou rekening met HTTP Session hijacking  Gebruik HTTPS bij elk request!  Niet alleen bij het inloggen
  11. 11. Integrated Windows Authentication Single Sign On  Werkt net als in een website Perfect voor gebruik binnen een AD domain  Maar lastig met gebruikers daar buiten
  12. 12. Token based security OAuth Amazons S3 Authentication Federated security
  13. 13. Three legged OAuth Populair bij veel consumer sites  Twitter  Google  Facebook Er zijn 3 entiteiten bij betrokken Zelden nuttig bij B2B
  14. 14. Three legged Oauth flow
  15. 15. Two legged Oauth flow
  16. 16. Amazons S3 Authentication Gebruikt een HMAC  Hash Message Authentication Code Wordt berekend over het request met een secret key  De server berekent dezelfde HMAC Zowel voor authentication als message tampering  Gebruik HTTPS voor confidentiality GET /photos/puppy.jpg HTTP/1.1 Host: johnsmith.s3.amazonaws.com Date: Mon, 26 Mar 2007 19:37:58 +0000 Authorization: AWS AKIAIOSFODNN7EXAMPLE:frJIUN8DYpKDtOLCwo//yllqDzg=
  17. 17. S3 Authentication - Client
  18. 18. S3 Authentication - Server
  19. 19. Federated security Maakt gebruik van Security Token Service (STS)  De STS doet de authenticatie van de gebruiker  De service ziet alleen de tokens van de STS Kan bv met Windows Azure Access Control Service  Er worden Simple Web Tokens (SWT) gebruikt Werkt prima samen met Windows Identity Foundation (WIF)
  20. 20. Federated security
  21. 21. Conclusie HTTP Security  Eenvoudig en in veel gevallen voldoende  Werkt samen met de beveiliging van een website Token based security  OAuth is vaak niet nodig bij B2B  Federated security kan met SWT tokens  Bijvoorbeeld via ACS en WIF
  22. 22. Vragen?mauricedb@computer.org

×