Web API認証について

最近、Web APIの認証をどうすべきか考えている。 例えば次のようなケースをどうするか。 「既存のWebサイトがあり、既にユーザＩＤとパスワードによる認証によって、ブラウザでデータを提供している。 今回、この提供データをブラウザの画面ではなく、REST APIにて取得可能にしたい。 このデータはユーザ毎に取得可能な値が違うので、認証、または認可によって制限をかけたい。」 ユーザーがブラウザからIDとパスワード(以下ID/PW)を使ってログインする方式を、そのままWeb APIにも適用しても安全なのだろうか。 Web APIの先にはスマホアプリやシェルスクリプトなどから直接ログインするものなどが考えられるが、安全かつシンプルに実装するにはどうしたらいいのだろうか。 私はセキュリティの専門家ではないので間違った考え方をしている可能性もあるが、誰かの目に留まって助言いただけるかもしれないので、

[atrandom2520]

丁度悩んでる所なので参考になる。

[k-holy]

一般に広く利用を促すわけでもないAPIのためにわざわざ自前でOAuth Providerを実装するくらいなら、例示されたようなチャレンジ/レスポンス方式のオレオレ認証で充分という気も

[banana-umai]

“MBaaS”

[msykt]

「何故これではダメなのか」と問われると答えられないところあるなぁ

[tinsep19]

DropboxUploader(https://github.com/andreafabrizi/Dropbox-Uploader)はbashでOAuth2.0を使っている。へぇ。

[takezaki]

書きました