AtomPPやRESTなどのAPIにおける認証のメモ

api atompp rest

ひとまずはBasic認証で充分な気がする.WSSEは消えつつあるのかな?

以下引用メモ

# 2007年06月30日 miyagawa miyagawa Basicのほうがいいよ

VoxのフィードはmiyagawaさんがBasic認証対応にしたみたいです。確かにWSSE認証に対応したフィードリーダーなんて聞いたこと無い。

でもたとえば記事のPOST/PUT/DELETEとかはBasic認証でやちゃっていいのかな?今作ってるサービスでも認証方法が決まらなくてscaffold_resourceで生成したAPIもPOST/PUT/DELETEはコメントアウトしてるんですよね。

Basic認証

より正確にいうと、Atom 自体に独自の認証スキームは定義せずに、既存のHTTPで利用できるBasic/Digestを使おうということだと認識しています。WSSE もオプションとして利用することは可能になりますが。

ちなみに CGI ベースであることと SSL や Basic/Digest 認証が必要であることはバッティングしません。http://www.imc.org/atom-protocol/mail-archive/msg00057.html

投稿者: miyagawa (2005.06.20 午後 03:03)

これについては他のコメントも読むこと

BASIC認証に代表されるHTTP標準の認証方法であれば問題ないということですね。HTTP上に独自に認証の仕組みを作るなと。

再発明はもちろんしないように.元の記事の本題である翻訳文も→http://www.geocities.jp/yamamotoyohei/rest/mistakes.html

AtomPP の認証を api_key + トークンで突破できるようなことを実装する。

これはAPIを使ったウェブサービス作るときには欲しい機能.これ無しでパスワード預からない方法とかあるのかな?

   The type of authentication deployed is a local decision made by the
   server operator.  Clients are likely to face authentication schemes
   that vary across server deployments.  At a minimum, client and server
   implementations MUST be capable of being configured to use HTTP Basic
   Authentication [RFC2617] in conjunction with a TLS connection
   [RFC4346] as specified by [RFC2818].

   認証方式の選択はサーバ運用者が行う (訳注: 本仕様としては定めないと
   いうこと).最低限,クライアントとサーバは,TLS 接続 [RFC4346] 上で
   の HTTP ベーシック認証 [RFC2617] を設定できるように実装されなければ
   ならない (ベーシック認証は [RFC2818] で定義されている).

   The choice of authentication mechanism will impact interoperability.
   The minimum level of security referenced above (Basic Auth with TLS)
   is considered good practice for Internet applications at the time of
   publication of this specification and sufficient for establishing a
   baseline for interoperability.  Implementers should, in general,
   investigate and use alternative mechanisms regarded as equivalently
   good or better at the time of deployment.  It is RECOMMENDED that
   clients be implemented in such a way that allows new authentication
   schemes to be deployed.

   認証方式の選択は相互運用性に影響する.上に示した最低限のセキュリティ
   レベル (TLS とベーシック認証) は,本仕様の発行時点では妥当な方式と
   みなされるし,基本的な相互運用性を満たす.一般的に,システム導入時
   には,同レベル以上の認証方法を探し,採用すべきである.新しい認証方
   式を導入できるようにクライアントを実装することを推奨する.

たけまる / Atom 出版プロトコル仕様の和訳AtomPP翻訳より