Вернуться к списку вопросов

Какие основные методы аутентификации применяются в веб-сервисах?

Тип вопроса: Безопасность Вероятность: 10% Категория: Python Developer

Ответ

В веб-сервисах используются различные методы аутентификации, каждый со своими особенностями и областями применения:

  1. Basic Auth: Простейший метод, где логин и пароль кодируются в Base64 и передаются в заголовке Authorization.

    • Почему: Легко реализовать, но крайне небезопасен без HTTPS, так как учетные данные передаются в открытом виде.
    • Пример (Python requests): 
      import requests
response = requests.get('https://api.example.com/data', auth=('username', 'password'))

  2. Token-Based (например, JWT): После успешной аутентификации сервер выдает токен, который клиент затем передает в заголовке Authorization: Bearer <token> с каждым запросом.

    • Почему: Токены stateless (сервер не хранит состояние сессии), что хорошо для масштабируемых API. JWT (JSON Web Tokens) могут содержать подписанные данные о пользователе.
    • Пример (Python requests): 
      import requests
token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." # Пример JWT
headers = {'Authorization': f'Bearer {token}'}
response = requests.get('https://api.example.com/data', headers=headers)

  3. OAuth/OAuth2: Протокол делегирования авторизации, позволяющий сторонним приложениям получать ограниченный доступ к ресурсам пользователя на другом сервисе (например, вход через Google, GitHub).

    • Почему: Позволяет пользователям предоставлять доступ без передачи своих учетных данных стороннему приложению, повышая безопасность и удобство.
    • Пример (концептуально): 
      # Пользователь авторизуется через провайдера (Google/GitHub)
# Провайдер выдает токен доступа приложению
# Приложение использует этот токен для доступа к ресурсам пользователя
# from requests_oauthlib import OAuth2Session
# oauth = OAuth2Session(client_id, token=token)
# response = oauth.get('https://api.example.com/user_data')

  4. API Keys: Простой ключ, выдаваемый разработчику, который передается в заголовке или как параметр URL.

    • Почему: Подходит для аутентификации приложений (не пользователей) или для простых публичных API, где не требуется высокий уровень безопасности.
    • Пример (Python requests): 
      import requests
api_key = "your_api_key_123"
params = {'api_key': api_key}
response = requests.get('https://api.example.com/data', params=params)
# Или в заголовке: headers = {'X-API-Key': api_key}

  5. Session/Cookies: Сервер создает сессию после входа пользователя и хранит ее ID в куках браузера.

    • Почему: Традиционный метод для веб-приложений, где сервер управляет состоянием пользователя. Менее подходит для API без состояния.

Рекомендация: Для современных API предпочтительны Token-Based (JWT) или OAuth2 из-за их гибкости, масштабируемости и безопасности. Basic Auth следует использовать только с HTTPS и для очень простых случаев.

© ХакСобесов, 2026
support@hacksobesov.com