我有当前的客户群。我想通过RESTful服务(通过应用程序)让他们访问有关他们自己的某些细节。RESTful服务的用户身份验证
我想给客户提供尽可能少的麻烦,因此我正在考虑为每个客户生成一个UUID,然后让他们通过提供他们的UUID作为标识来访问REST。
例如:http://www.example.org/rest/value/UUID或http://www.example.org/rest/value将UUID作为HTTP基本身份验证通过TLS。
我的担心是安全。请记住,我对这些概念中的一些是新手。使用按需生成的UUID作为某个客户的“证明”,我的主要担忧是什么?
如果我的上述情况应该对有人嗅出UUID开放,如果我理论上能够在传输过程中隐藏UUID,也请将其合并。
我知道UUID不是非常容易理解,但输入被认为是通过URL/QR /类似的。
谢谢。你提到“在HTTP头中发送标识符会更安全一些......但是,如果标识符泄漏,攻击者可以轻松模拟用户” - 这是否与您的普通用户/密码不同丢失? – TragedyStruck
不,不是。虽然用户可以更改密码。但是建议不要使用用户名/密码来保护API,因为它会强制客户端以明文形式保存密码以随每个请求一起发送。 – MvdD