Soluciones a certificados de clientes del servicio web/mejores prácticas de autenticación

Question

Tengo un servicio web simple al que tienen acceso terceros desarrolladores de API. La API sigue principalmente los principios de REST.

Me interesan las soluciones para hacer que la API sea más segura al exigir a los desarrolladores que usen certificados de clientes. ¿Hay alguna solución de código abierto u otro consejo de implementación que cualquiera de ustedes tenga que ayude en las API basadas en REST usando certificados de nivel de usuario para auth?

Answer 1

Mi consejo genérico sería mantener su API separada de sus rutinas de autenticación. Su servidor web debe manejar la interacción por usted.

Las soluciones para su lado del escenario del certificado del cliente dependen de su entorno. No ha publicado eso aquí, pero parece que una búsqueda de Google dirigida debería darle una idea de lo que es necesario.

Dado que proporciona una API a otras partes, tiene alguna consideración con respecto al soporte de entorno para esos desarrolladores. Te está yendo bien con una base REST, y la mayoría de los entornos de programación van a interoperar con aquellos bastante bien.

Es probable que la compatibilidad con certificados de clientes varíe en términos de eficacia de soporte en entornos, plataformas, etc. Además, ahora está afectando la implementación del lado del cliente cuando necesita certificados. Esto casi seguramente lo colocará en una posición que lo obligará a apoyar a sus clientes y ponerlos en funcionamiento con su API. Eso significa familiaridad con otros lenguajes, servidores web, marcos, etc.

Answer 2

La biblioteca HTTP de Python admite client certificates, al igual que la biblioteca urllib que se encuentra encima.