67
我目前正在研究.net的REST庫,並且我想聽聽關於我擁有的一個開放點的一些意見:REST和身份驗證。REST和身份驗證變種
這裏是與庫中使用的RESTful接口的一個示例:
[RestRoot("/user")]
public interface IUserInterface
{
[RestPut("/")]
void Add(User user);
[RestGet("/")]
int[] List();
[RestGet("/get/{id}")]
User Get(int id);
[RestDelete("/delete/{id}")]
void Delete(int id);
}
服務器代碼然後只是實現接口和客戶端可以通過工廠獲得相同的接口。或者,如果客戶端不使用該庫,則標準HTTP請求也可以使用。
我知道有使用HTTP基本身份驗證或向需要驗證用戶的請求發送令牌的主要方法。
第一種方法(HTTP基本驗證),有以下問題(具體部分網絡瀏覽器):
- 密碼的每個請求發送的 - 即使SSL這有某種「壞感覺」 。
- 由於密碼是通過請求頭傳輸的,因此本地攻擊者很容易查看傳輸的頭文件以獲取密碼。
- 密碼在瀏覽器內存中可用。
- 沒有標準的方式來過期用戶「會話」。
- 使用瀏覽器登錄會中斷頁面的外觀。
第二個方法的問題是更側重於實施和庫使用:
- 每個請求的URI這就需要認證必須有令牌,這只是很重複的參數。
- 如果每個方法實現需要檢查令牌是否有效,那麼需要編寫更多的代碼。
- 該界面將變得不那麼具體,例如
[RestGet("/get/{id}")]與[RestGet("/get/{id}/{token}")]。 - 在哪裏把令牌:在URI的末尾?根後?別的地方?
我的想法是把令牌作爲參數傳遞到像http:/server/user/get/1234?token=token_id的URL。
另一種可能性是將參數作爲HTTP標頭髮送,但這會使我用普通的HTTP客戶端的使用變得複雜。
令牌將作爲每個請求上的自定義HTTP標頭(「X-Session-Id」)傳遞迴客戶端。
然後這可以從接口完全抽象出來,並且任何需要認證的實現都可以詢問令牌(如果給定)屬於哪個用戶。
您認爲這會違反REST嗎?或者您有更好的想法嗎?
因爲它將永諾使用SSL如果不是在一個安全的網絡內部使用,使用會話的UUID的是那裏來的不應該是一個問題。 什麼阻止某人僞造cookie? – Fionn 2009-01-19 18:34:49
我不會說擁有URI是代表狀態所需的全部是REST的一個原則。相反,資源是可尋址的,並且請求中包含的所有應用程序狀態似乎是一種更好的方式來陳述它。 – laz 2009-01-21 20:25:49
您可以使用MAC保護Cookie,例如該服務器有一個祕密,並會發放給客戶端以下會話令牌: _ 其中MAC被構造爲SHA1( _ ) 當客戶端發送一個令牌 _ 服務器必須檢查 _ 等於 –
ordnungswidrig
2010-02-11 09:15:25