我們目前有一個基於SOAP的Web服務,我們內部的應用程序用它來驗證用戶。基本上,他們發送一個帶有用戶名和密碼的SOAP請求。 Web服務根據我們的數據存儲對其憑據進行身份驗證,並在身份驗證成功時返回用戶信息。 Web服務使用BASIC身份驗證和SSL進行保護。將敏感信息發送到REST服務
我們需要對此Web服務進行修改,並且我正在考慮將其重寫爲REST服務。過去我創建的REST服務相當簡單,並且不需要安全性。我從來沒有創建了用於敏感信息的REST服務,所以我有幾個問題/顧慮:
首先,是否有發送敏感查詢參數(用戶憑證)安全地REST服務的最佳做法?我仍然可以使用BASIC身份驗證和SSL。
其次,如果我將查詢發送到使用POST REST服務,它仍然被認爲REST風格,或者就是讓需要REST查詢?
我建議你閱讀下面的StackOverflow Q&A上的同一主題:http://stackoverflow.com/questions/7551/best-practices-for-securing-a-rest-api-web-service – 2011-02-09 19:50:02