Для моего текущего побочного проекта, который представляет собой модульную систему веб-управления (которая может содержать модули для управления базами данных, cms, управления проектами, управления ресурсами, отслеживания времени и т. Д.), Я хочу представить всю систему как RESTfulAPI, как мне кажется, сделает систему более удобной в использовании.Сама система будет закодирована в ASP.MET MVC3, однако, если я сделаю все данные / действия доступными через RESTful API, это должно сделать систему очень простой в использовании с PHP, Ruby, Python и т. Д. (Они могут дажесоздайте собственный интерфейс для управления определенными данными, если они захотят).
Однако, единственное, что кажется трудным сделать легко (с точки зрения пользователя, использующего RESTful API) с RESTful API, - это безопасность с помощью ajax.функциональность.Если бы я хотел что-то сложное в настройке и использовании, я бы просто создал сервисы SOAP, но весь смысл использования RESTful API в том, что это очень просто.Наиболее распространенный способ защиты RESTful API с помощью ключа, связанного с пользователем.Это прекрасно работает, когда все вызовы выполняются на стороне сервера, однако, как только вы начинаете выполнять функции AJAX, это меняется.Я хотел бы, чтобы RESTful API мог вызываться напрямую из javascript, однако любой, кто является firebug, легко сможет получить доступ к ключу, который использует пользователь, разрешить этому человеку доступ к системе.Есть ли лучший способ защитить RESTful API, если он не заставляет пользователя RESTful API делать сложные вещи только для его настройки?