La autenticación Hawk es un protocolo de autenticación basado en peticiones HTTP diseñado para proporcionar un mecanismo de autenticación simple, flexible y seguro. Utiliza HMAC (Hash-based Message Authentication Code) para crear firmas criptográficas que verifican tanto la autenticidad como la integridad de las peticiones.Hawk es particularmente útil para las API que requieren una seguridad sólida sin la complejidad de OAuth, ya que proporciona una alternativa ligera para la comunicación de servicio a servicio.Configuración básica#
Configure los parámetros esenciales de autenticación Hawk:| Parámetro | Descripción | Obligatorio |
|---|
| Hawk Auth ID | Identificador de autenticación para la petición actual | Sí |
| Hawk Auth Key | Clave de autenticación para la petición actual | Sí |
| Algorithm | Algoritmo HMAC para la autenticación de mensajes | Sí (SHA-256, SHA-1, etc.) |
El algoritmo debe coincidir con lo que espera su proveedor de API. Se recomienda SHA-256 para implementaciones modernas, mientras que SHA-1 es compatible con sistemas heredados.
Configuración avanzada#
Haga clic en la opción More para configurar parámetros Hawk adicionales. Si se dejan en blanco, se generarán automáticamente.| Parámetro | Descripción | Propósito |
|---|
| User | Identificador de usuario | Identifica al usuario que realiza la petición |
| Nonce | Cadena aleatoria generada por el cliente | Evita ataques de repetición al garantizar la unicidad de la petición |
| ext | Información específica de la aplicación | Datos personalizados enviados con la petición de la API |
| app | Identificador de la aplicación | Evita la suplantación de credenciales al vincularlas a aplicaciones específicas |
| dlg | ID de aplicación de delegación | Identifica la aplicación que emitió las credenciales |
| Timestamp | Marca de tiempo Unix | Evita peticiones fuera de la ventana de tiempo (protección contra repetición) |
| Include payload hash | Opción de casilla de verificación | Cuando está habilitada, incluye un hash de la carga útil de la petición en la firma |
Funciones de seguridad#
Prevención de ataques de repetición:Timestamp: Garantiza que las peticiones solo sean válidas dentro de una ventana de tiempo específica
Nonce: Garantiza que cada petición sea única y no pueda repetirse
app: Evita que los atacantes utilicen credenciales emitidas para otras aplicaciones
dlg: Rastrea qué aplicación delegó las credenciales
Apidog genera automáticamente los valores de Timestamp y Nonce si se dejan en blanco, lo que garantiza una seguridad adecuada sin configuración manual.
Habilite "Include payload hash" cuando su API requiera la verificación de la integridad del cuerpo de la petición. Esto añade la carga útil al cálculo de la firma, lo que evita la manipulación del cuerpo de la petición.
