Tecnologia do Blogger.
RSS

Re: [androidbrasil-dev] Comunicação RESTful

Se houver uma encriptação tipo SSL dificulta o MTM.

Agora se houver um MTM por trás tal como o Moxie Merlinspike é melhor
começar a rezar!

Abraço,

Ernani

2012/6/30 Renato Lima <renattolima@gmail.com>:
> Leonardo e Ernani,
>
> Essa é uma saída interessante e mais rápida, já usei muito também.
> O problema é que ela não evita um man-in-the-middle attack.
>
> Abraço,
>
> Em 30 de junho de 2012 12:11, Ernani Joppert Pontes Martins
> <joppert@gmail.com> escreveu:
>
>> Como o Leonardo mesmo disse, você pode usar usar um session id como um
>> token de autenticação.
>>
>> Vc teria uma url que faz o login e envia ao cliente o token, este
>> token é válido até que a sessão expire.
>>
>> Só tem que tomar cuidado para que ninguém faça um hijack do token. Uns
>> optam por encriptar este token.
>>
>> Abraço,
>>
>> Ernani
>>
>> 2012/6/30 Leonardo Fernandez <leodufer@gmail.com>:
>> > Eu usaria uma abordagen asi dominio/controlador/metodo?key_chave =
>> > 123456
>> > Onde key_chave seria gerada en tempo de execusao no login do usuario...
>> > depois e so manter esa key durante o seccion o persistir ela con un
>> > mecanismo de vencimento e renovaçao
>> > El 30/06/2012 08:39, "Renato Lima" <renattolima@gmail.com> escribió:
>> >
>> >
>> >>
>> >> Gink, eu recomendo muito o OAuth, mas se você não quiser toda
>> >> complexidade
>> >> que ele trás (que aliás, é só até você entender bem como funciona o
>> >> fluxo),
>> >> dá uma olhada nesse post:
>> >>
>> >> http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
>> >>
>> >> Mas não deixa de dar uma olhadinha no OAuth, tem muita coisa pronta:
>> >> http://oauth.net/code/
>> >> Pra facilitar suas pesquisas, procure por "2-legged oauth
>> >> implementation",
>> >> que é o que resolve o seu problema.
>> >>
>> >> Abraço,
>> >>
>> >> Em 30 de junho de 2012 03:48, Gink Labrev <gink.labrev@gmail.com>
>> >> escreveu:
>> >>
>> >>> Ernani,
>> >>>
>> >>> Grato pela resposta.
>> >>> O Restlet parece bem atual, inclusive saindo um livro [1], que até
>> >>> menciona Android na descrição do livro.
>> >>>
>> >>> Se me permitem elaborar mais minha questão, esta é a seguinte:
>> >>> Tenho uma seguinte estrutura de link, por exemplo:
>> >>>
>> >>> htttp://[domínio]/[id_do_usuário]/[ação]
>> >>>
>> >>> Um exemplo seria http://dominio/13/ver_mensagens
>> >>>
>> >>> Obviamente, o usuário tem que estar logado para conseguir ver este
>> >>> link.
>> >>> Só que não minha estrutura atual é uma simples resposta a uma
>> >>> requisição e
>> >>> nada impede de um usuário mal-intencionado criar um form por
>> >>> HttpClient e
>> >>> obter a resposta por exemplo.
>> >>>
>> >>> A arquitetura RESTful fornece essa camada de proteção/autenticação ?
>> >>> Já
>> >>> ouvi falar em OAuth para resolver esse problema, mas penso que poderia
>> >>> ser
>> >>> mais simples resolver por REST.
>> >>>
>> >>> Estou falando não só do mobile, mas como tb garantir essa segurança do
>> >>> lado do servidor.
>> >>>
>> >>> Agradeço desde já qq informação,
>> >>>
>> >>> Abs,
>> >>>
>> >>> [1]  http://www.manning.com/louvel/
>> >>>
>> >>> Em 29 de junho de 2012 19:18, Ernani Joppert Pontes Martins
>> >>> <joppert@gmail.com> escreveu:
>> >>>
>> >>>> Se você não tiver nenhuma imposição de ninguém existe um framework
>> >>>> dedicado para tal.
>> >>>>
>> >>>> http://restlet.org
>> >>>>
>> >>>> Se acaso imporem J2EE, usaria Spring MVC com Spring Web Services.
>> >>>>
>> >>>> O MyEclipse For Spring da Genuitec, tem uma ferramenta que gera
>> >>>> chamadas RESTful com Spring Web Services, além de uma camada J2EE
>> >>>> usando JPA e Spring Beans com ioC.
>> >>>>
>> >>>> Gera JUnit Test cases e uma série de frameworks de User Interface,
>> >>>> tais como Spring MVC, Spring Webflow, Adobe Flex, JSF 2.0 e uma
>> >>>> interface Web Mobile chamad MobiOne dela mesma.
>> >>>>
>> >>>> Todo o processo se dá por scaffolding, e, usando uma documentação de
>> >>>> requisitos decente vc consegue gerar muito código a partir de views.
>> >>>>
>> >>>> Abraço,
>> >>>>
>> >>>> Ernani
>> >>>>
>> >>>> 2012/6/29 Gink Labrev <gink.labrev@gmail.com>:
>> >>>> > Pessoal,
>> >>>> >
>> >>>> > Qual melhor maneira de fazer o Android se comunicar com uma API
>> >>>> > RESTful, e
>> >>>> > manter a autenticação ao longo das requisições ?
>> >>>> >
>> >>>> > Abs,
>> >>>
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> Renato Lima
>> >> @renattolima
>
>
>
>
> --
> Renato Lima
> @renattolima

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

0 comentários:

Postar um comentário