2
我在開發將由每個操作一個REST API的各種網絡服務的支持PHP的社交媒體網絡應用程序的中間。 Web服務可能會用Java來實現與MySQL數據層但我試圖做整點是使它真正容易實現的模塊在不同的語言/數據存儲取決於什麼是approriate。保護一個REST API
因此,例如,當用戶通過登錄表單登錄到應用程序時,PHP代碼連接到Web服務並POST用戶名和密碼來檢查它們是否應該進行身份驗證。我通常在這一點上開始一個會話並將其存儲在會話數據存儲中。
另一個例子可能是用戶向另一個用戶發送私人消息。該消息將被髮送到私人消息傳遞Web服務,該服務將處理所有的存儲。同樣,可以聯繫Web服務來檢索用戶的消息。
儘管我理解如何在Java中實現REST Web服務並在PHP中建立連接,但我完全不確定如何保護傳遞的數據並確保它是返回的用戶數據。例如,如果我想讓所有用戶作爲私人消息,Web服務如何知道返回該用戶。我能通過用戶標識符作爲GET URL的一部分,但話,想必任何舊的用戶可以只找出GET網址,並使用它來查找其他人的消息。我想也許我可以通過會話標識符和IP地址,這將允許我檢查會話數據存儲並確保它是正確的用戶?
爲了保護重要的數據 - 比如用戶名/密碼,我想我只是通過SSL傳遞它。
希望這說明我的問題更好。
感謝
你制定Internet或Intranet的解決方案?你使用微軟產品(ASP.NET MVC或WFC 3.5/4.0)來創建服務和IIS來承載這個?你想要認證或隱私?隨着更多的信息,你可以得到更好的答案。 – Oleg 2010-04-21 16:39:14
根據Olegs評論,我添加了更多信息。對於上一個問題的模糊不清 - 寫得非常深夜! – christophmccann 2010-04-21 21:52:28