พอดีผมยัง งง ๆ เรื่องของ Key แบบ Secret Key กับแบบ  Key คู่ว่าต่างกันยังไง เรื่องคอนเซปผมพอเข้าใจบ้าง(นิดนึง) ผมขอยกตัวอย่าง RS256 กับ HS256

HS256
1. ถ้าเราทำ Token หลุด คนที่เอาก็ไปก็สามารถเปลี่ยน data + signature แทนเราได้เลยระหว่างทาง หรือ ส่งข้อมูลเหมือนเป็นตัวเราแทนได้เลย ผมเข้าใจถูกใช่ไหมครับ เพราะยังไงเขาก็รู้อยู่แล้ว่าเราเข้ารหัสด้วยเทคนิคอะไรผ่านข้อมูล Header ส่วนแรก

RS256
2. ถ้าเราทำ Public key หลุด คนที่เอาก็ไปก็สามารถส่งข้อมูล data + signature ได้เลย ถ้าเขารู้โครงสร้างข้อมูลว่าต้องส่งอะไรไปบ้าง เช่นพวก select update create
3. แต่ถ้าเขาไม่รู้โครงสร้างข้อมูลที่ต้องส่ง ต่อให้รู้ Public key ก็แก้ไขระหว่างทางไม่ได้ หรือเนียนส่งไม่ได้ ผมเข้าใจถูกใช่ไหมครับ

เพิ่มเติม
4.แล้วแบบนี้ทั้งสองแบบ มันก็ไม่ค่อยต่างกันเลยในเมื่อถ้ารู้ Token หรือ Public key ก็ยังมีคนเนียนส่ง data ไป server ให้ server ประมวลผลได้อยู่ดี ทางเดียวที่จะรอดได้คือ ห้ามบอก Token หรือ Public key ใครเลย คือผมยังงงว่าจะใช้ประโยชน์ RS256 ยังไงในเมื่อ
เราเนียนส่งข้อมูลไป server ผ่าน Public key ที่ได้มาได้อยู่ดียังไง server ก็ถอดรหัสได้ครับ

อ้างถึงจาก: tarllovemint ใน 02 สิงหาคม 2022, 22:47:16
เรื่องนี้ลองศึกษาคำว่า Api gateway ครับ

1. JWT เป็น auth รูปแบบนึงที่นิยม
ถ้าต้องการตอบโจทย์ระบุถึงตัว user ที่ใช้งานมีอีกหลายวิธี

2. Rate limit ทำได้ทั้งขาหน้า (api gateway) และขาหลัง (Software)
ขึ้นอยู่กับการออกแบบและใช้งาน

เราสามารถดูว่าเว็บต้นทางที่ร้องขอมาเป็นเว็บไหนได้ไหมครับ โดยเช็คจากฝั่งเรา โดยที่เขาไม่ต้องส่งมา

อ้างถึงจาก: sangson ใน 03 สิงหาคม 2022, 21:01:43

อ้างถึงจาก: munto17 ใน 02 สิงหาคม 2022, 22:22:27

อ้างถึงจาก: sangson ใน 01 สิงหาคม 2022, 22:15:07
ลองผ่าน RapidAPI ไหมครับ

ขอบคุณครับ น่าสนใจมากครับ ลองเข้าไปเล่นเบื้องต้นแล้วถือว่าเยี่ยมมากตรงใจเลย ทางเ็บจัดการเรื่อง Request limit ให้หมด

สอบถามเพิ่มเติมครับ
1.เหมือน url api ของคนอื่นที่ลงในเว็บ จะเป็น rapidapi.com หมดเลยอันนี้คือทางเราอัพขึ้นเว็บเขาเลยหรอครับ ไม่ต้องไปเช่าคราวหรือเซิฟเวอร์เพิ่มใช่ไหมครับ

เราต้องมี Server ให้บริการครับ RapidAPI เป็นแค่ตัวกลางจัดการ แล้วส่ง Request มาที่ Endpoint ของเราอีกทีครับ

User <-> RapidAPI <-> My Endpoint API

แบบนี้ url Endpoint ของ api ต้นทางก็ต้องเอา Auth ออกใช่ไหมครับเพื่อใ้ rapidapi เชื่อมได้

อ้างถึงจาก: sangson ใน 01 สิงหาคม 2022, 22:15:07
ลองผ่าน RapidAPI ไหมครับ

ขอบคุณครับ น่าสนใจมากครับ ลองเข้าไปเล่นเบื้องต้นแล้วถือว่าเยี่ยมมากตรงใจเลย ทางเ็บจัดการเรื่อง Request limit ให้หมด

สอบถามเพิ่มเติมครับ
1.เหมือน url api ของคนอื่นที่ลงในเว็บ จะเป็น rapidapi.com หมดเลยอันนี้คือทางเราอัพขึ้นเว็บเขาเลยหรอครับ ไม่ต้องไปเช่าคราวหรือเซิฟเวอร์เพิ่มใช่ไหมครับ

อ้างถึงจาก: dontsearch ใน 01 สิงหาคม 2022, 22:10:50
1. jwt ก็น่าจะเพียงพอครับ api ของธนาคารหลาย ๆ เจ้าก็ jwt
2. เอาจริง ๆ การกำหนด limit request น่าจะขึ้นอยู่กับเงื่อนไขการให้บริการ api มากกว่า แต่ถ้าเน้นไปที่ให้รองรับปริมาณ  request มากที่สุด ก็ขึ้นอยู่กับการออกแบบครับ cache ชุดข้อมูลแต่ละ method ก็ได้ เช่น ถ้าให้บริการข้อมูลยี่ห้อรถ ชุดข้อมูลยี่ห้อรถมันก็ซ้ำ ๆ กัน Toyota, Honda, Benz ทุก request ก็จับลง cache ไม่เปลือง bandwidth

ขอบคุณครับตอนแรกผมคิดว่า jwt จะไม่ไหว กลัวทำ API ขายแล้วจะมีคนเนียนผ่านไม่ต้องเช็คสิทธิ

สวัสดีครับ พอดีผมกำลังศึดษาเกี่ยวกับการเขียน API เพื่อทำ Service ให้บริการ แต่ยังกังวลหลาย ๆ จุดโดยเฉพาะการยืนยันตัวตนผู้ใช้
1.ปกติการเขียน API ใช้แค่ JWT สามารถใช้ยืนยันผู้ใช้ได้ดีไหมครับ หรือมีตัวอื่นที่ดีกว่าหรือบริการ service สำหรับสร้าง api ที่ตอบโจทย์ส่วนนี้แนะนำได้เลยนะครับ
2.ปกติ API มีบริการเจ้าไหนที่เข้ามาช่วยในเรื่องของการกำหนด limit ในการร้องขอการใช้ api ไหมครับ เช่นสามารถร้องขอได้แค่ 300 ครั้งต่อวัน หรือปกติมใช้อะไรนับกันหรอครับ ที่ผมนึกออกถ้าใช้ server ทั่วไปคือนับผ่าน database แต่ผมคิดว่าน่าจะมีข้อผิดพลาดได้ จึงอยากขอคำแนะนำครับ