0
我正在开始一个新项目(一个Web应用程序),并希望它通过REST Web服务和AJAX检索并提交大部分数据。但我几乎不知道如何确保Web服务知道谁正在访问它,只将数据提供给符合条件的人。什么是REST Web服务quthentication的常规和最佳实践?
我正在开始一个新项目(一个Web应用程序),并希望它通过REST Web服务和AJAX检索并提交大部分数据。但我几乎不知道如何确保Web服务知道谁正在访问它,只将数据提供给符合条件的人。什么是REST Web服务quthentication的常规和最佳实践?
REST Web服务是无状态的,因此身份验证也应该是无状态的。
此身份验证最常用的方法是使用HTTP身份验证标头(详细信息在此处 - >http://www.ietf.org/rfc/rfc2617.txt)。这里的先决条件是您应该使用SSL \ HTTPS,否则这些HTTP身份验证头将变得容易受到中间人攻击。
如果您的网站没有使用SSL,那么您应该查看其他认证方法,本文(http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/)文章详细讨论了所有这些方法。它基本上描述了Amazon Web Services用于验证非SSL请求的机制。
希望这会有所帮助。