【发布时间】:2010-06-02 22:14:36
【问题描述】:
我即将用 RESTful 解决方案替换我老式的基于会话的服务器解决方案。 进入这个无状态域时,我在哪里可以找到有关安全性、身份验证等设计原则的信息?
我需要找到适用于不同客户端平台(Flex/Air、浏览器、桌面和移动应用等)的解决方案。现在我在服务器端使用 php。
【问题讨论】:
标签: php apache-flex air rest restful-authentication
【发布时间】:2010-06-02 22:14:36
【问题描述】:
【讨论】:
-
谢谢彼得,我去看看!
最简单的是基本的http认证; http://en.wikipedia.org/wiki/Basic_access_authentication
【讨论】:
-
或者,如果您想要更好的安全性,请消化
-
简单,是的,但安全吗?这是否意味着每次请求都传输用户名和密码? @troelskn:嗯......所以摘要是一种更安全的http身份验证形式......?谢谢!我去看看!
-
使用 https 应该没问题,但当然,这不是最安全的选择。消化更好。
从 Google 帐户授权、Yahoo REST API 等示例中学习。
需要注意的几点:
- Cookie 通常用作 带外身份验证令牌。
- 小心 AJAX 调用失败 身份验证 - 如果他们得到一个 302 重定向到一个表单,它将被自动跟踪,你会得到一个 200 响应,表单正文作为响应
【讨论】:
-
嗯...“带外”——这是什么意思?
-
"out-of-band" 而不是在负载内部,在某种意义上,身份验证令牌不是适用的,并且是 POST 正文的一部分,而是驻留在 HTTP 标头中并且确实不会影响您的特定应用负载