80 messaggi dal 17 maggio 2011
Ciao a tutti,

Stavo pensando a come si potrebbe implementare un servizio API che validi la licenza di un software client.
Mi spiego meglio

API-Server
detiene un codice licenza e la data di scadenza

Software Client
Invia una chiamata di verifica ad API-Server inviando il suo codice, il server API Risponde OK o OK in base alla scadenza.
Software client se OK continua, se KO emette avviso licenza scaduta.

Questo è l'idea di base, non mi vengono in mente altri controlli che posso fare.

2 Problemi
1 - Mancanza di connettività, verifico con retries di 1 settimana, poi fattacci suo se non è su internet (parto dal presupposto che API-Server deve essere sempre online)

2 - Verificare autenticità Api-Server
Questo ci sto pensando da qualche giorno.
Poniamo il caso che il client modifichi il suo file.host e che venga instaurato un API-SERVER fittizio che emuli la risposta.
Come posso impedire questo?
Potrei annegare nella risposta un stringa secret che vado a verificare e ponendo che la comunicazione avvenga su https, il contenuto non può essere ispezionato con man in the middle e di conseguenza potrei essere sicuro che quello che mi sta rispondendo sia il mio server.

Che dite, Pareri?
Soluzioni alternative che non riesco a vedere?

Ciao
Paolo
Ciao!
Premesso che non sono un super esperto della questione (parlo del secondo punto Verificare autenticità Api-Server).
Mi ero imbattuto per un problema simile legato all'autenticazione via Api.. e questo veniva gestito utilizzando un autenticazione Bearer o JWT:
detto molto molto terra terra, il server si aspetta che il client fornisca insieme alla richiesta anche un token che ha un certo formato che viene convalidato e di conseguenza determina se dare o no una risposta.

ti lascio un paio di link spero utili:
https://swagger.io/docs/specification/authentication/bearer-authentication/
https://jwt.io/introduction

magari non è quello che cercavi, come dicevo non sono un super esperto della questione
a disposizione

Maurizio

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.