Ik worstel een beetje met een situatie die ik bij klant tegengekomen ben. Het werk dat ik doe zou je het beste als consultant op het gebied van data management kunnen omschrijven. Niet hardcore tech in ieder geval, maar het schuurt wel een beetje tegen die richting aan. Lang geleden ben ik web developer geweest dus ik ben wel een beetje bekend met die materie en men verwacht ook dat ik wat algemene ondersteuning op IT gebied lever.
Er wordt data ontsloten via een API vanuit een symfony backend. Mijn vraag gaat over de beveiliging, want er wordt gebruik gemaakt van een API key die via een parameter in de url doorgegeven wordt. Dus iets als https://www.dezesite.nl/api/v1/producten?apikey=kkdsflgkdf#%$#534AAA4534
De meeste API's waar ik de laatste tijd mee heb gewerkt werken met OAuth2. Een enkeling gebruikt een vaste API key maar dan wel in ieder geval nog in de headers zodat je ze niet in logfiles en history ziet. De variant die het in de url stopt heb ik al heel erg lang niet meer gezien. Dit volgt ook niet de symfony best practices en ik krijg ook een erg ongemakkelijk gevoel van deze constructie.
Maar hoe erg is dit nu concreet? Het doel van dit topic is niet dat ik mijn gelijk wil halen. Eerder het tegenovergestelde.. Ik zoek eigenlijk juist naar een soort verzachtende omstandigheden om zo te kunnen bepalen of ik misschien te kritisch ben.
Google maakt me niet veel wijzer. Ik kom wel die best practices tegen waarbij het in symfony 2.x al niet meer zo hoorde, en verder kom ik vooral resultaten tegen hoe het wel zou moeten. Wat vinden jullie? Zou het een 2, een 5 of een 6- zijn als je het in een rapportcijfer uit zou moeten drukken?
Er wordt data ontsloten via een API vanuit een symfony backend. Mijn vraag gaat over de beveiliging, want er wordt gebruik gemaakt van een API key die via een parameter in de url doorgegeven wordt. Dus iets als https://www.dezesite.nl/api/v1/producten?apikey=kkdsflgkdf#%$#534AAA4534
De meeste API's waar ik de laatste tijd mee heb gewerkt werken met OAuth2. Een enkeling gebruikt een vaste API key maar dan wel in ieder geval nog in de headers zodat je ze niet in logfiles en history ziet. De variant die het in de url stopt heb ik al heel erg lang niet meer gezien. Dit volgt ook niet de symfony best practices en ik krijg ook een erg ongemakkelijk gevoel van deze constructie.
Maar hoe erg is dit nu concreet? Het doel van dit topic is niet dat ik mijn gelijk wil halen. Eerder het tegenovergestelde.. Ik zoek eigenlijk juist naar een soort verzachtende omstandigheden om zo te kunnen bepalen of ik misschien te kritisch ben.
Google maakt me niet veel wijzer. Ik kom wel die best practices tegen waarbij het in symfony 2.x al niet meer zo hoorde, en verder kom ik vooral resultaten tegen hoe het wel zou moeten. Wat vinden jullie? Zou het een 2, een 5 of een 6- zijn als je het in een rapportcijfer uit zou moeten drukken?