代码之家  ›  专栏  ›  技术社区  ›  ny95

葡萄API和HTTP摘要认证

grape-api datamapper rack rubygems ruby
  •  2
  • ny95  · 技术社区  · 12 年前

    我正在为我的ruby应用程序创建一个API,它基于HTTP摘要身份验证对用户进行身份验证。我决定使用Grape API库,因为它可以在ruby中创建API清理器。Grape文档指出,您可以使用摘要式身份验证,如: 

    http_digest({ :realm => 'Test Api', :opaque => 'app secret' }) do |username|
  # lookup the user's password here
  { 'user1' => 'password1' }[username]
end

    上面的Grape实现是 Rack::Auth::Digest::MD5

    现在也是为了安全起见,我读到,从RFC 2617开始,你不需要将密码以明文形式存储在数据库中,你可以存储用户名的MD5摘要:realm:password并对此进行验证,所以我创建了一个DataMapper模型: 

    class Key
  include DataMapper::Resource

  property :id,              Serial

  property :username,        String
  property :password,        String

  property :active,          Boolean, :default => true
  property :created_at,      DateTime, :default => DateTime.now
  property :updated_at,      DateTime
end

    现在,对于我所提供的,我不知道如何将这两者联系起来并使其发挥作用。

    1 回复  |  直到 12 年前
        1
  •  3
  •   Neil Slater    12 年前

    不幸地 Rack::Auth::Digest::MD5 在服务器端需要一个明文密码。

    Grape示例代码显示了一个硬编码的密码查找。

    你可以更换 { 'user1' => 'password1' }[username] 具有 

    Key.first( :username => username ).password

    如果你储存了 明文 中的密码 Key 班我想,你可以存储这些可逆加密的密钥,尽管这不会增加太多安全性,除非你构建相对复杂/昂贵的密钥管理方案。

    不确定是否有办法让你存储散列密码。MD5并不是最安全的哈希选择(尽管总比什么都没有好!)。如果安全性是API的一个重要问题,那么您需要超越摘要身份验证,例如,使用https会有所帮助。

    编辑:经过一些来回的讨论,下面是葡萄的例子 允许您存储MD5密码: 

    auth :http_digest, { :realm => { :realm => 'Llama', :passwords_hashed => true, :opaque => "7302c32d39bbacb5ed0ace096723fd" } } do |username|
  Digest::MD5.hexdigest( 'fred:Llama:654321' )
end

    该示例给出了一个硬编码的用户名:“red”,密码:“654321”响应。所以我认为你的目标代码是这样的: 

    auth :http_digest, { :realm => { :realm => 'Llama', :passwords_hashed => true, :opaque => "7302c32d39bbacb5ed0ace096723fd" } } do |username|
  k = Key.first( :username => username )
  k ? k.password : nil
end

    然后存储的结果 Digest::MD5.hexdigest( "#{username}:#{realm}:#{password}" ) 在每个用户的密码属性中。

    注意使用的双层哈希 :realm 两次这有点棘手,但至少你不必编写自己的中间件,Grape仍在处理它 Grape的一个文档化功能或包含了测试,因此可能在未来的版本中不起作用。

    推荐文章
    Community wiki  ·  如果我调用Factory.build以使我的控制器测试快速,我如何让Factory Girl永远不会访问数据库?
    1 年前
    karuhi wairi  ·  如何解决在尝试运行rake server或rackup config.ru时出现的错误
    1 年前
    Community wiki  ·  使用RJB(Ruby java Bridge)的OpenNLP中的java.lang.NullPointerException
    2 年前
    thesunneversets  ·  如何使用Nikkou(新手Ruby问题!)
    2 年前
    Stilian  ·  存储库设置中没有Github页面部分
    2 年前
    Kellen  ·  查看$卷展栏功能列表
    2 年前
    Akshit Thakur Ak  ·  我怎样才能把铁轨停下来?
    2 年前
    Chowlett  ·  Ruby数组#shuffle中的默认随机参数是什么
    2 年前
    johncssjs  ·  将数组转换为每个元素的嵌套哈希
    2 年前
    solidsnake99  ·  Rails db:如何绕过验证
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号