Creare un sistema di Api Key

[LuckySevenRoX]

Salve, stavo cercando delle informazioni su internet per realizzare un sistema di sicurezza efficace per utilizzare delle API solo se si ha un corretto Api Key (per capirci come fanno Facebook, Google ecc.)

per ora ho trovato un esempio 'teorico' qui http://webcache.googleusercontent.co...ient=firefox-a (se non posso inserire link di questo tipo prego i mod di editarlo, grazie), ma nello specifico ho dei dubbi:
- a cosa serve creare una 'signature' se tanto questa deve essere generata dal client (e quindi facilmente 'modificabile' se necessario)? o forse è il caso di chiedere 'in che modo va generata per assicurare un eccellente livello di sicurezza?'
- siete a conoscenza di 'best practice' per casi del genere?

Comunque, a parte il link messo da me, accetto qualunque altra guida/tutorial/suggerimento da chi ne sa più di me.

[Santino83_02]

mah la signature lato client sinceramente non la capisco anche io, non mi sembra poi di aver mai visto nessuno utilizzarla, almeno nei servizi più comuni.

l'idea dell'api key è semplice: dai al client una chiave da comunicarti quando si logga nella tua applicazione. Attraverso tale chiave tu riconosci il client come valido, lo "logghi", e gli consenti di utilizzare i metodi che metti a disposizione. l'uso rsclusivo di https per la comunicazione client/server direi che sia indispensabile per evitare man in the middle e simili.

Poi se vuoi puoi limitare il numero di richieste/secondo da riceve da parte di una key

ps: ovviamente l'algoritmo che genera le key dev'essere robusto per evitare che da fuori ti "azzecchino" le key degli altri

[LuckySevenRoX]

ciao e grazie per la risposta,
si a livello base conosco il funzionamento di una api key e l'ho già utilizzata in passato, per questo mi interessa capire come renderla ancor più sicura e magari evitare problemi 'noti' che però per me non sono riconoscibili a colpo d'occhio.

ad esempio come gestire al meglio la questione delle 'sessioni scadute'.. nel complesso sono tutte cose che ho già fatto e che funzionano, il mio problema è capire come migliorarle ulteriormente e volevo sapere se qualcuno ha qualche consiglio 'tecnico' o guida da passarmi per ragionarci 1 pò su!

[Santino83_02]

Originariamente inviato da LuckySevenRoX
ciao e grazie per la risposta,
si a livello base conosco il funzionamento di una api key e l'ho già utilizzata in passato, per questo mi interessa capire come renderla ancor più sicura e magari evitare problemi 'noti' che però per me non sono riconoscibili a colpo d'occhio.

ad esempio come gestire al meglio la questione delle 'sessioni scadute'.. nel complesso sono tutte cose che ho già fatto e che funzionano, il mio problema è capire come migliorarle ulteriormente e volevo sapere se qualcuno ha qualche consiglio 'tecnico' o guida da passarmi per ragionarci 1 pò su!

se la procedura della tua app è quella di ricevere come login un'api key e da lì ritornare una sessionid che il client ti invia nelle richieste successive, qual'è il problema sulla "sessione scaduta"? gestita prob lato db, imposti una scadenza, rinnovata ad ogni richiesta, a cui fai riferimento quando ti arriva la richiesta