使用REST的用戶身份驗證

Question

我很抱歉如果我的問題似乎是重複的，但我還找不到答案。

我正在使用Spring 3.0構建基於REST的應用程序，並計劃最終部署到Google App Engine。現在我的客戶可以是Native Android，iPhone或基於Web的客戶端。

我的用戶需要使用持久層中存儲在服務器中的用戶名和密碼進行登錄。現在說我的Android客戶端打開應用程序，登錄屏幕顯示爲用戶。現在用戶輸入用戶名和密碼。

我知道這將是一篇文章，並說我的服務端點是註冊。因此，它會像

POST /註冊

現在我打算把用戶名和密碼在郵件的正文中的JSON或XML格式。我的問題是「這是做這件事的正確方法嗎？」我打算使SSL成爲SSL，但我應該如何真正將這種敏感信息發送到正文中。我計劃在成功認證時返回OAUth令牌，並使用它在將來的所有服務調用中驗證用戶。

在此先感謝。

Answer 1

聽起來像你有正確的想法。 SSL應確保您選擇發送的方法是安全的。

記住鹽+存儲之前散列密碼： web cryptography - salted hash and other tasty dishes

Answer 2

使用授權頭髮送的用戶名和密碼信息。這就是它的原因。