<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:"Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Segoe UI";

        panose-1:2 11 5 2 4 2 4 2 2 3;}

@font-face

        {font-family:"\@Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">There is nothing wrong with Bearer/Token Authentication, which is a well defined standard and widely used by many frameworks.  “Authentication: Token XXXX” is not a “unique” model and I would say the simplicity of that is potentially more

 useful then moving to something like OAuth 2, JWT, or OpenID Connect.  The simplicity of token authentication is actually why it is fairly widely recommended over using OAuth 2.0 Token Access for programmatic access to a RESTful API.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">You can use OAuth 2.0 to generate a token, but then your creds for generating that token are stored on your system, instead of just the limited access token itself.  In fact, RFC6750 specifies the use of “Authorization: Bearer” for API

 endpoint access.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">TLDR; “Authorization: Token” is a valid, widely recognized “model” for REST API access.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> ARIN-consult <arin-consult-bounces@arin.net> <b>

On Behalf Of </b>Jo Rhett<br>

<b>Sent:</b> Thursday, August 8, 2024 6:48 PM<br>

<b>To:</b> Chris Woodfield <chris@semihuman.com><br>

<b>Cc:</b> arin-consult@arin.net<br>

<b>Subject:</b> Re: [ARIN-consult] Consultation on API Key Handling<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%">

<tbody>

<tr>

<td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>

<td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt">

<div>

<p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:column;mso-height-rule:exactly">

<span style="font-size:9.0pt;font-family:"Segoe UI",sans-serif;color:#212121">You don't often get email from

<a href="mailto:geek@jorhett.com">geek@jorhett.com</a>. <a href="https://aka.ms/LearnAboutSenderIdentification">

Learn why this is important</a><o:p></o:p></span></p>

</div>

</td>

<td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt;align:left">

</td>

</tr>

</tbody>

</table>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;background:#FBE4D4;border-collapse:collapse">

<tbody>

<tr>

<td style="border:solid windowtext 1.0pt;border-left:solid red 6.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;line-height:11.0pt">

<span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">Notice: </span><span lang="EN-CA" style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">This is external email. Verify the sender and use caution with any content.</span><o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="color:black">Unless ARIN intends to release and maintain high-quality client software libraries in each of the top 20 programming languages,</span><o:p></o:p></p>

</blockquote>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">...<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">I’m working on the assumption that the implementation will be no more complex than an "Authorization: Token XXXX” HTTP header, which is a well-established pattern for API authentication. If the implementation were to be more complex than

 that, I’d raise an objection as well.<o:p></o:p></p>

</div>

</div>

</blockquote>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">There's no reason to build something raw and native. There are dozens of robust, well-tested security frameworks for authentication that are implemented by every platform and language already. OAuth 2, JWT, OpenID Connect, ...

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Yes, those align with (but are greater than) plaintext headers. Don't go creating a unique model unless none of the well-established, widely used frameworks won't meet the needs.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="color:black">-- <br>

Jo Rhett<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal"><span style="color:black">-- <br>

Jo Rhett<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>