laravel api güvenirliği

zogenas

Merhabalar ;

Laravel ile yazılmış erp sistemini e-ticaret sitesine aktaracağımdan güvenlik gerekçesiyle api ile veri çekemeyi kararlaştırdım.Fakat siz değerli hocalarıma bir soruda bulunacaktım.Laravelin PASSPORT api kütüphanesi App/user bazlı çalışıyor bunu değiştirebiliriz fakat paketlerin kişiliği ile çok oynanmaması taraftarıyım sorum şu olacaktır sizler bu api kullanımı ne kadar güvenilirdir.Tabi güvenilir web sitesi diye birşey yok en kralı bile açık veriyor fakat bu api kütüphanesiyle web sitesine özel kullanıcı açıp bunu sınırlandırarak sadece stok ları çekmesini istesek bu kullanımda diğer tablolar için bir sıkıntı oluşturacakmıdır ? daha farklı nasıl önlem almamı istersiniz yoksa orta çaplı bir site için gayet yereli bir kullanımmıdır şimdiden çok teşekkürler

Edit 1 : birde hocalarım bu bearer tokenin default olarak geldiğinde kullanım süresi var mıdır ? yoksa biz mi ekliyoruz istersek

Ufacık Edit : Birde her seferinde login olup anahtar üretmek zorunda kalıyorum.Anahtarın Süresi 1 Yılmış galiba eğer halihazırda anahtarı tekrar login olmasın diyebiliyormuyuz ? her seferinde login olması api login loglama kısmında kirliliğe neden olabilir

Roni

Veri güvenliği sizin için önemliyse en fazla 1 saatliğine token üretmek gerekir. Kişi hala login durumundaysa token süresi dolduğunda tokeni yenileme mekanizması kurabilirsiniz. Bu konuda yanılmıyorsam forumda daha önce yapılmış açıklamalar vardı.

zogenas

hala login olduğunu nasıl anlayabiliriz ki

yada her girişte istenen tokenı nereye kayıt edebiliriz

Roni

token anahtarı 1 saatliğine veritabanında tutulur. Bir saat dolmadan yenileme isteği iletilir. Bunu istemci sunucudan isteyecek. Sunucu buna göre kodlanmış olmalı.
En basit yapı aşağıdaki gibi olmalı.

sa737as7d7s7ac7bnm7 => api kullanıcı anahtarı
kksd423ddsd => token 1 saat aktif. (giriş yapıldığında benzersiz bir anahtar üretilir, benzersiz anahtar için üyenin bilgilerinden de yararlanılır)
sa244s43r3c21 => yenileme isteği için token anahtarı (giriş yapıldığı anda token ile birlikte benzersiz bir anahtar üretilir)
192.168.89.99 => istemcinin IP adresi (İstemcinin bağlantı yapıldığı ip adresi)

Sunucuya bütün istekler yanıtlar https üzerinden yapılmalıdır.

login olduktan sonra bütün işlemler https://apservisi.com/token?key=kksd423ddsd üzerinden gerçekleştirilebilir.
bu istek sonucunda veri içinde her zaman refresh_token anahtarıda istemciye iletilmelidir.

token yenileme isteği https://apservisi.com/token_refresh?key=sa244s43r3c21 ile elde edilebilir.
Bu istek ile birlikte yeniden token için benzersiz bir anahtar üretilir. Elde ettiğiniz token ile işlemlere kaldığınız yerden devam edebilirsiniz.

zogenas

Hocam peki olası bir veritabanına erişimi açığı verdiğimizde tokenda alınacaktır bundan sonraki gelecek tokenlarda aynı şekilde olacaktır diye düşünüyorum şöyle yapsak peki
sunucuya /checklogin olsa unauthorized cevabı gelince /login yapıp daha sonra checklogine gönderip ordan eğer login başarılıysa ok döndürüp query beklemeye alsak

Roni

Veritabanı erişim açığı varsa zaten bütün bilgileriniz risk altında demektir.

Benim bahsettiğim basit yapı OAuth 2.0 olarak geçer ve şuan kullanılan en güvenilir yöntemlerden birisidir. Twitter, facebbok, google ve daha bir çoğu bu yapıyı kullanır.

zogenas wrote: şöyle yapsak peki
sunucuya /checklogin olsa unauthorized cevabı gelince /login yapıp daha sonra checklogine gönderip ordan eğer login başarılıysa ok döndürüp query beklemeye alsak

Yapıyı istediğiniz gibi kodlayabilirsiniz. Bu tamamen ne yapmak istediğinize bağlı.

zogenas

şu an apim passport token mantığı USER modeli temelli işliyor passport kütüphanesi kullarak oauth2.0 servera çevirme mümkünatı var mıdır yoksa ekstra paket ve sunucu gereksinimi gereklimidir

zahmet edip verdiğiniz cevaplar için çok çok teşekkürler

Roni

Laravel PASSPORT api desteği oauth2.0 ile benzerdir.
Bu videoyu izleyin. Dil frnasızca ama önemli olan ekran görüntüleri.
https://www.youtube.com/watch?v=mjj1FlCRtc8

zogenas

çok teşekkürler sağolun

Laravel Türkiye Forumları, ücretsiz forum uygulaması Flarum ile yapılmıştır.