Config.php donde definiremos los datos de conexión a la base de datos y el API Key que utilizaremos para validar el consumo del servicio. Este API Key puedes sustituirlo por un API Key en base de datos por cada cuenta o usuario de tu aplicación por medio de un método dentro del API. Este es el contenido de nuestro archivo Config.php:

 
1
2
3
4
5
6
7

define(‘DB_USERNAME’, ‘root’);
define(‘DB_PASSWORD’, »);
define(‘DB_HOST’, ‘localhost’);
define(‘DB_NAME’, ‘restapi’);
 
//referencia generado con MD5(uniqid(<some_string>, true))
define(‘API_KEY’,‘3d524a53c110e4c22463b10ed32cef9d’);

Para generar el API Key puedes utilizar cualquier método de codificación. Para este ejemplo utilicé MD5() combinado con  uniqid() de PHP.

Indicaremos consultas a los headers o cabeceras de request e indicaremos la codificación charset que permita caracteres latinos o especiales como acentos, etc. Por último nos aseguraremos de que cualquier tipo de navegador web o cliente pueda acceder al API via P3P:

 
1
2
3
4
5
6

header(«Access-Control-Allow-Origin: *»);
header(‘Access-Control-Allow-Credentials: true’);
header(‘Access-Control-Allow-Methods: PUT, GET, POST, DELETE, OPTIONS’);
header(«Access-Control-Allow-Headers: X-Requested-With»);
header(‘Content-Type: text/html; charset=utf-8’);
header(‘P3P: CP=»IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA»‘);

Luego, procederemos a cargar nuestro archivo de configuración para tener disponible cualqueir tipo de información como rutas, variables, constantes, etc., necesarias para el funcionamiento de nuestro API:

 
1

include_once ‘../include/Config.php’;

Nuestra segunda función authenticate(), nos permitirá validar la consulta a los métodos de nuestro API como una forma de seguridad y así garantizar que controlemos quien puede acceder y consumir el API partiendo de que hemos declarado un Access-Control-Allow-Origin:*. Esto es muy similar a como se utiliza cualquier API disponible como Facebook y Google. Este API KEY puede ser sustituido por un valor de una base de datos si deseas utilizar acceso controlado o RBAC en tu API.

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

function authenticate(SlimRoute $route) {
// Getting request headers
$headers = apache_request_headers();
$response = array();
$app = SlimSlim::getInstance();
 
// Verifying Authorization Header
if (isset($headers[‘Authorization’])) {
//$db = new DbHandler(); //utilizar para manejar autenticacion contra base de datos
 
// get the api key
$token = $headers[‘Authorization’];
 
// validating api key
if (!($token == API_KEY)) { //API_KEY declarada en Config.php
 
// api key is not present in users table
$response[«error»] = true;
$response[«message»] = «Acceso denegado. Token inválido»;
echoResponse(401, $response);
 
$app->stop(); //Detenemos la ejecución del programa al no validar
 
} else {
//procede utilizar el recurso o metodo del llamado
}
} else {
// api key is missing in header
$response[«error»] = true;
$response[«message»] = «Falta token de autorización»;
echoResponse(400, $response);
 
$app->stop();
}
}

Como podemos ver, a la función echoResponse() le pasamos solo un valor de $route, que es un método reservado de Slim Framwork que es definido para la ruta de acceso o endpoint que se consumirá. Por ejemplo, http://localhost/restapi/v1/auto, siendo /auto nuestro endpoint o método de consumo. Capturamos las cabeceras o headers, en este caso apache_request_headers() ya que estamos utilizando Wamp o cualquier otro paquete de desarrollo *AMP (LAMP, WAMP).

Continua leyendo «Seguridad RESTful API»

Entradas relacionadas

Php

IF Shorthand (if corto, if acortado)

Milton Gonzalez H.
Php

Verificar contenido URL

Milton Gonzalez H.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *