我刚刚开始阅读关于实现RESTful Web服务和创建RESTful API的信息。我已经理解了REST的基本概念,但我一直在探索如何安全地实现它。Restful API:如何安全地访问api?
说例如,我的web应用程序有一个用户登录过程。成功登录后,还应该通过哪些RESTful请求在服务器上进行身份验证? 我能想到的是以下过程:在(POST用户名/密码API)
- 用户登录
- API与用户钥响应
- 用户钥存储在本地
- 当进行任何进一步请求,我在请求中包含此密钥进行身份验证
但是,userkey
似乎是我发送到API的状态,但REST恰好是无状态的。此外,在发送GET
请求的情况下,这并不太安全。
OAUTH是我困境的解决方案吗?或者以其他方式?有人能指导我这个...
感谢