HTTP-запрос DELETE с дополнительной аутентификацией

Question

Я искал решение следующей проблемы, но пока безуспешно: я планирую веб-сервис RESTful, где определенные действия (например, УДАЛЕНИЕ) должны требовать специальной аутентификации.

Идея состоит в том,то, что пользователи имеют обычное имя пользователя / пароль (основанный на сеансе или Basic Auth, здесь не имеет значения), с помощью которого они могут получить доступ к сервису.Некоторые действия требуют дополнительной аутентификации в виде PIN-кода или даже одноразового пароля.Включение дополнительной части аутентификации в процесс входа в систему невозможно (и это упустит смысл всего упражнения).

Я думал о специальных заголовках (что-то вроде X-OTP-Authetication), но это сделало бы этоневозможно получить доступ к сервису через стандартную HTML-страницу (нет способа включить пользовательский заголовок в ссылку).Другим вариантом были параметры HTTP-запроса, но это, кажется, не рекомендуется, особенно для DELETE.

Есть идеи, как решить эту проблему?

Answer 1

С Безопасность веб-службы REST с интерфейсом jQuery

Если вы еще этого не сделали, я бы порекомендовал почитать OAuth 1.0 и 2.0 . Они оба используются некоторыми более крупными API, такими как Facebook, Netflix, Twitter и т. Д. 2.0 все еще находится в стадии разработки, но это никого не остановило от его реализации и использования, так как клиенту проще в использовании. Похоже, вы хотите что-то более сложное и более безопасное, поэтому вы можете сосредоточиться на 1.0.

Я всегда находил Обзор аутентификации Netflix хорошим объяснением для клиентов.