opbygning af API - sikker godkendelse

Hvordan ville det være et problem, hvis man blot skulle sende sine loginoplysninger med ved hver forespørgsel?

Hvis dy frygter at blive 'sniffet', kan du jo bare forlange implementeringen iver HTTPS.

Enten sender du user/pass med hver request eller så sende du user/pass med et login request og får et token som du kan sende med efterfølgende requests.

@ repox

jeg siger heller ikke det vil være noget problem at sende loginoplysningerne med ved hver forespørgsel, men ville vide om det kun kunne gøres sådan..

vil det sige at det bare kan gøres som nedenstående, hvor man bare vælger https:// ??

$fp = fsockopen("https://www.example.com", 80, $errno, $errstr, 30);
if (!$fp) {
    echo "$errstr ($errno)<br />\n";
} else {
    $out = "POST / HTTP/1.1\r\n";
    $out .= "Host: www.example.com\r\n";
    $out .= "Content-Type: application/x-www-form-urlencoded\r\n\r\n";
    $out .= "user=test\r\n";
    $out .= "pass=hemmelig\r\n";
    $out .= "bil=volvo\r\n";
    $out .= "dyr=hest\r\n";
    fwrite($fp, $out);
    while (!feof($fp)) {
        echo fgets($fp, 128);
    }
    fclose($fp);
}

@ arne

hvad er fordelen ved at bruge et token?

fsockopen tager mig bekendt ikke URL'er men hostnavne som første arg.

Forskellen er ikke ret stor. Men med et token slipper man for at skulle gemme user/pass. Man skal naturligvis gemme token, men det kan ikke genbruges.

hvordan vil du så foreslå man foretager forespørgslen?

men kan man vel også i stedet for user/pass eller token bruge en api_key?

eks.
1354-8464-1845-7882

Det vigtige er Arnes #5 - tillad mig at udpensle:

Brugernavn+password skal ikke gemmes i brugerens browser (cookie)
- hvor de kan opsnuses/overtages af den næste bruger af browseren/computeren.

Brugernavn+password sendes kun én gang, og "veksles" på serveren til en "billet" (som gemmes i brugerens browser (cookie))

Når brugeren logger ud (eller billetten ovskrider sin "holdbarhedsdato") bliver billetten ugyldig, og kan ikke længere benyttes til at identificere brugeren.

Det er faktisk sådan PHP's $session fungerer (en billet i en cookie)
Billettens holdbarhedsdato forlænges hvergang den bruges, og skaber på den måde en "session".

Denne session kan afbrydes ved at lave en egentlig logud (session-id slettes på server). Eller ved at lukke browseren (alle vinduer) hvorved cookien slettes.

Hvis brugeren glemmer begge dele, og bare går fra computeren, med browseren logget ind, er holdbarhedsdatoen eneste beskyttelse. En evt. slambert kan altså nå at overtage sessionen (og dermed brugerens identitet) = den seneste N3M-ID SKANDALE - som altså ikke er noget særligt - det kan ikke være anderledes.

Hvis du vil have krypteret den første afsendelse af brugernavn+password, skal du bruge SSL (HTTPS). Det betyder at browser og server være "enige om" en offentlig krypteringsnøgle = Den skal registreres og trustes af en "betroet trediepart" - Det koster knapper :(

det jeg ikke kan blive helt sikker på er hvordan man så sender det krypteret via https, da der ikke kan sendes protokol med i fsockopen() som arne siger..

for det hele skal vel ske via fsockopen() ?

jeg har bestilt SSL certifikat :)

http://dk2.php.net/transports

Hvis det ikke er HTTP/HTTPS vil token ikke skulle gemmes i en cookie, men i noget andet. Princippet er dog helt det samme.

Krypterings delen af HTTPS fungerer fint med et self signed (gratis!) certfikat. Det som mangler er verifikationen af at serveren er den som den påstår at være.

Du kan ikke angive HTTP eller HTTPS i en fsockopen, men jeg mener at du kan angive brug af SSL.

tak for hjælpen indtil videre :)

men arne, skal lige være helt med på ideen med den token.. hvad mener du med at gemme den, for det skal vel slet ikke omkring klienten, da hele API modulet jo kører fra en server til en anden? altså server 1 som kommunikerer med server 2 via API'et..

client og server er desværre nogle lidt vage begreber.

Snakker du normal web app er:
  client = PC med browser
  server = stor maskine med web server

Men hvis det er server-server, så vil man bruge:
  client = den maskine som connecter
  server = den maskine som lytter på port

smid et svar arne

ok

tak for hjælpen