我最近一直在做一些关于认证Web服务调用(REST SOAP或其他)的最佳方法的研究。 但是没有一种方法让我相信...但是我仍然无法做出选择...
有些人谈论SSL和http基本认证 - 登录/密码 - 这对机器来说似乎很奇怪(我的意思是不得不将一个登录名/密码分配给一台机器,或者不是?)。
有些人说API密钥(看起来像这些计划更多用于跟踪,而不是真正的安全保护)。
有人说令牌(如会话ID),但不应该保持无状态(特别是如果使用REST风格)?
Web服务认证丛林
在我的使用情况下,当远程应用程序被调用的我们的网络服务之一,我必须明明验证调用应用程序,并调用必须 - 如果有的话 - 告诉我,冒充,所以我可以处理哪些用户随后授权。
有什么想法?
这是身份验证/授权101.如果您需要说服这些不同的方法,则不了解每个方法的基本前提。我唯一的建议是 - 花更多时间学习。 – jro 2010-05-18 13:22:47
对不起,我不理解你的评论。什么是101?我确实了解身份验证如何工作(授权)。我提出的问题是涉及某种“三方”,而不是两个。 Web服务可能已知的客户端,Web服务和客户端用户。
如果阅读oauth,这似乎接近我所需要的。但它有一些不适用于我的情况的工作流程('您是否允许应用程序x连接到您的dta'东西)
是否让我误解了您的问题。对不起,我可能需要重新说明它。 – redben 2010-05-19 23:23:33