我正在尋找解決方案,目前尚未成功:我正在計劃一個RESTful Web服務,其中某些操作(例如DELETE)需要特殊的身份驗證。帶有額外驗證的HTTP DELETE請求
這個想法是,用戶有一個正常的用戶名/密碼登錄(基於會話或基本身份驗證,這裏並不重要),使用它們可以訪問該服務。某些操作需要以PIN碼或甚至一次性密碼的形式進行額外的身份驗證。在登錄過程中加入額外的認證是不可能的(並且會錯過整個練習的重點)。
我想過特殊的頭文件(類似於X-OTP-Authetication),但是這將使得通過標準HTML頁面訪問服務變得不可能(無法將自定義頭文件包含到鏈接中)。 另一種選擇是HTTP查詢參數,但似乎不鼓勵,特別是對於DELETE。
任何想法如何解決這個問題?
您是否考慮過[OAuth](http://oauth.net/documentation/getting-started/)?它包含一些擴展的認證和支持已知的提供商,如Facebook,谷歌和微軟。 –