[RickardP]

Jag håller på att ska bygga up ett API för kunder att använda tjänst jag startar up och vill kolla hur man gör det säkert att identifiera sig över ett HTTP GET anrop?

Kunden ska tex för att få en viss information skriva http://api.mindoman.se/getinfo/

Detta görs med ett enkelt HTTP GET anrop men jag måste låta kunden identifiera sig frö att få rätt information och jag har sätt många bara låter sina kunder skicka med användarnamn och lösenord i klartext i url:en men det är ju så osäkert det kan bli att göra så om någon sitter och avlyssnar sin traffik.

SSL har jag fått tips om och ska kolla på men finns det någon som har en bra lösning?

[V-Me]

Jag brukar skicka med idet i md5.

[elitasson]

Varför inte generera en nyckel till varje användare som enbart används för API-tjänsten?

[RickardP]

Hmm, jag har varit inne på det också men ville se om någon hade någon bättre lösning, för kommer dem åt den nyckeln kan dem ju använda API:et vilket i denna tjänst är ganska så värdefull men inte övriga tjänsten.

Jag var ett tag inne på att man skulle få göra någon hash mellan username + password + datum bara för att få det så det endast fungerar en dag om någon får tag på nyckeln.

[V-Me]

Gör en ny nyckel hela tiden?

[Jine]

https://kund:[email protected]/getinfo/

Borde lösa... allt?

[RickardP]

Citat:

Ursprungligen postat av Jine

https://kund:[email protected]/getinfo/

Borde lösa... allt?

Hur löser man det där då?

[Jine]

https, dvs ingen kan avlyssna och se lösenordet.
och sjukt användarvänligt.

[RickardP]

Citat:

Ursprungligen postat av Jine

https, dvs ingen kan avlyssna och se lösenordet.
och sjukt användarvänligt.

Jo HTTPS fattade jag men det där med användarnamn och lösenord?

[Jine]

Citat:

Ursprungligen postat av RickardP

jag har sätt många bara låter sina kunder skicka med användarnamn och lösenord i klartext i url:en men det är ju så osäkert det kan bli att göra så om någon sitter och avlyssnar sin traffik.

Det är inte osäkert om det går över SSL/HTTPS?
Precis det jag menade.