【问题标题】:First time OrientDB user regarding security in REST api首次使用 OrientDB 用户了解 REST api 中的安全性
【发布时间】:2015-06-02 16:30:03
【问题描述】:

我是 OrientDB 的新手。我正在浏览 REST api,但我无法理解 api 的安全性。我在后端开发方面没有太多经验(我是前端开发人员),所以请在这里帮助我澄清一些要点:

  • 我可以看到所有 GET 请求都是打开的,例如,如果我知道 url 和记录或类名,我可以简单地在 Web 浏览器中键入它,任何人都可以访问所有记录。如何保护这些数据??
  • 访问令牌或会话如何与 REST API 一起使用??

这可能是一个非常基本的问题,但由于我刚刚开始学习它,请建议正确的方法或任何有用的资源。

谢谢。

【问题讨论】:

    标签: rest orientdb


    【解决方案1】:

    所有 REST 请求都使用 HTTP 身份验证进行身份验证,如果您打开了 OrientDB Studio,那么您已经通过身份验证,浏览器将不会再次询问用户/密码。尝试打开一个新的匿名浏览器窗口并发送 REST 调用,您将看到弹出窗口询问用户/密码。

    在这里您可以找到有关 HTTP 和会话的更多信息

    http://orientdb.com/docs/last/OrientDB-REST.html

    【讨论】:

    • 好的,这意味着我可以为每个应用程序用户分配一个唯一的用户名和密码。但我只能找到连接调用.. 我不明白如何在我的数据库中为使用 REST api 的应用程序中的新用户注册用户名和密码?另外我怎样才能给这个用户分配特定的角色??不过感谢您的回答。如果最后一件事得到排序,我会将其标记为正确答案。这个问题再次听起来很傻,但请考虑它来自一个完全的初学者。
    • 我想你有一个和我非常相似的问题:stackoverflow.com/questions/30380909/… 我仍然没有解决方案。你能告诉我你的问题是否相同。
    • 即使使用 HTTP 身份验证,您也不希望让您的 Web 服务器对公共 Web 开放。看到这个问题。 stackoverflow.com/questions/36028628/…
    • 要注册一个新用户,你只需要在 OUser 类上做一个 INSERT,对于角色(ORole)也是如此。密码是自动加密的,所以你可以在第一次以纯文本形式插入它(有一个钩子)。两者之间的分配只是一个链接。查看内置系统用户的记录,很简单
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-09-08
    • 2017-12-05
    • 1970-01-01
    • 2014-12-10
    • 2014-04-23
    • 2012-06-16
    相关资源
    最近更新 更多