ต่อไป »

[esanza.com]

พอดีผมจะเขียน Web service (RESTFull) ขึ้นมา 1 ตัว
แล้วให้เครื่อง Client เชื่อมต่อเข้ามารับข้อมูลจาก Web service(RESTFull) ที่ผมทำขึ้นมานี้
ผมอยากทราบว่าเวลาเครื่อง  Client  เชื่อมต่อเข้ามาเค้าใช้วิธียังไงบ้างครับ /Login , Token หรือมีวิธีใดบ้างเพื่อความปลอดภัย


+1 ทุกความเห็นครับ

[sputtaro]

1. ก่อนอื่นขอบอกว่า ผมไม่เคยออกแบบระบบของผม ( API ด้วยภาษา PHP) แบบจริงๆจังๆมาก่อน แต่การใช้งานในฐานะ Client ยังคงทำอยู่ทุกวัน
(ผมเคยลองออกแบบระบบของตัวเองด้วยภาษา Delphi เมื่อนานมาแล้ว) จึงไม่อาจเรียกว่า ชำนาญ หรือเชี่ยวชาญ
เอาเป็นว่า ขอพูดในฐานะ Client คนหนึ่งนะครับ

2. การเชื่อมต่อของ Client เข้าสู่ API ของเว็บต่างๆ มีทั้งที่ต้องใช้การล็อกอิน และไม่ต้องล็อกอิน
ซึ่งการล็อกอินที่ว่านี้ก็คือ การใช้ Access Key หรือ User Name, Password เป็นต้น เพื่อเป็นการระบุตัวตนของผู้เข้าใช้งาน
พวกไม่ต้องล็อกอิน ก็คือ ไม่ต้องส่ง Access Key หรือ User Name, Password ไปยัง Server
และการล็อกอินนี้ไม่เกี่ยวกับ การล็อกอินเข้าสู่หน้าคอนโทรล (Control Panel) ของเว็บ แต่เป็นการล็อกอิน เพื่อเข้าสู่ระบบ API โดยตรง
นอกเหนือจากนี้ Server ที่ต้องการความปลอดภัยสูง ก็จะมีการเข้ารหัส มีการใช้ตัวแปรอื่นๆเพิ่มขึ้น เช่น ต้องมีตัวแปร วัน เวลาที่ล็อกอิน หรือ ไอพีแอดเดรส เป็นต้น
ลองศึกษาระบบ API ของ Amazon ดูนะครับ จะเห็นว่า ผู้ใช้งานต้องระบุตัวแปรหลายตัว รวมทั้งมีการเข้ารหัส, Timestamp
แต่ของ Aliexpress ใช้น้อยกว่า หลักๆก็แค่ API KEY , Tracking Id เท่านั้น


3. เว็บที่ให้บริการ API โดยไม่ต้องมีการล็อกอิน เช่น เว็บรายงานสภาพอากาศ, ให้บริการอัตราแลกเปลี่ยนเงินตรา เป็นต้น (ไม่แน่ใจว่ายังเป็นแบบนี้หรือเปล่านะครับ ผมไม่ได้ใช้นานแล้วด้วย)
ส่วนพวก E-Commerce ใช้การล็อกอินเป็นการจำกัดสิทธิ์การเข้าถึงฐานข้อมูล เพื่อความปลอดภัยแทบทั้งนั้น
รวมทั้ง มีการจำกัดขนาดของการเข้าถึง ซึ่งจะแตกต่างกันไปตามแต่นโยบายของเว็บนั้นๆ
เช่น Calls per second , Call frequency/day เป็นต้น

หวังว่าจะพอช่วยได้บ้างนะครับ

[userhuman]

ผมเคยทำ แต่แบบว่า Webservice Base64 + Jsonencode + Token แต่ดูๆแล้วมันไม่ค่อยจะปลอดภัยเลย 

ยังหาวิธีต่อไป ทำไงให้ปลอดภัยด่ี --*