Security HTTPS上RESTFul身份验证的解决方案
therez在web上关于身份验证的很多讨论都是关于REST体系结构的,因此我认为现在是我们将解决方案放在一个地方的时候了。一个听起来不错的解决方案: (外面的安全专家,plz评论)Security HTTPS上RESTFul身份验证的解决方案,security,restful-authentication,Security,Restful Authentication,therez在web上关于身份验证的很多讨论都是关于REST体系结构的,因此我认为现在是我们将解决方案放在一个地方的时候了。一个听起来不错的解决方案: (外面的安全专家,plz评论) 用户使用其用户名和密码登录 在服务器上,验证用户名和密码 如果凭证有效,我们将通过将时间戳与用户id混合来获得唯一的id。我们使用一个表来映射uniqueId->userid,并为刚才生成的唯一id和userid创建一个条目 此外,我们还设置了一个HTTP头say id,其中包含唯一的id和用户id,并使用字符串连
整个方案都在HTTPS上如果您使用HTTPS,我认为您不需要如此复杂的解决方案。您甚至可以要求客户端在每次请求时传输用户名和密码。只要客户没有受到威胁,就没有问题。如果它被破坏了,整个解决方案无论如何都会崩溃
一般来说,我认为大多数开发人员都对通过HTTP而不是HTTPS的解决方案感兴趣。但是,已经有成熟的解决方案,如OpenID或OAuth.< /P>我会考虑使用存在的东西,而不是发明新的东西。