2011-12-11 315 views
3

根據REST,沒有「登錄」用戶這樣的術語,所以每個請求都應該通過身份驗證,以便在服務器上啓用用戶身份驗證。REST身份驗證

的問題是:

  1. 什麼在實踐中已批准的技術,這是有意義的使用? AWS? OAuth的?
  2. 如何獲得可以隨每個請求重新發送的初始令牌?
  3. 如果有人可以訪問此令牌,並且可以使用此身份驗證令牌將他標識爲不同的人,是否有任何漏洞。

回答

0
  1. REST沒有審批機構,所以沒有強制或標準化的技術。與「已批准的技術」最接近的是HTTPS。
  2. 使用HTTPS並讓客戶端每次在每個請求中都安全地發送他們的憑證。避免讓服務器爲了會話管理而向客戶端指定任何類型的令牌,因爲這是服務器必須管理的更多數據。
  3. 當然,就像有人得到您的電子郵件密碼會很糟糕...