【问题标题】:Client agnostic solutions for RESTful resource security/authentication etc.?用于 RESTful 资源安全/身份验证等的客户端无关解决方案?
【发布时间】:2010-06-02 22:14:36
【问题描述】:

我即将用 RESTful 解决方案替换我老式的基于会话的服务器解决方案。 进入这个无状态域时,我在哪里可以找到有关安全性、身份验证等设计原则的信息?

我需要找到适用于不同客户端平台(Flex/Air、浏览器、桌面和移动应用等)的解决方案。现在我在服务器端使用 php。

【问题讨论】:

    标签: php apache-flex air rest restful-authentication


    【解决方案1】:

    【讨论】:

    • 谢谢彼得,我去看看!
    【解决方案2】:

    最简单的是基本的http认证; http://en.wikipedia.org/wiki/Basic_access_authentication

    【讨论】:

    • 或者,如果您想要更好的安全性,请消化
    • 简单,是的,但安全吗?这是否意味着每次请求都传输用户名和密码? @troelskn:嗯......所以摘要是一种更安全的http身份验证形式......?谢谢!我去看看!
    • 使用 https 应该没问题,但当然,这不是最安全的选择。消化更好。
    【解决方案3】:

    从 Google 帐户授权、Yahoo REST API 等示例中学习。

    需要注意的几点:

    • Cookie 通常用作 带外身份验证令牌。
    • 小心 AJAX 调用失败 身份验证 - 如果他们得到一个 302 重定向到一个表单,它将被自动跟踪,你会得到一个 200 响应,表单正文作为响应

    【讨论】:

    • 嗯...“带外”——这是什么意思?
    • "out-of-band" 而不是在负载内部,在某种意义上,身份验证令牌不是适用的,并且是 POST 正文的一部分,而是驻留在 HTTP 标头中并且确实不会影响您的特定应用负载
    猜你喜欢
    • 2018-07-03
    • 2015-07-09
    • 2014-12-11
    • 2012-03-18
    • 1970-01-01
    • 1970-01-01
    • 2012-01-27
    • 1970-01-01
    • 2010-12-04
    相关资源
    最近更新 更多