Аутентификация и REST

Question

Я реализовал сервис win.Я хотел бы расширить его, чтобы включить некоторые функции через REST.Я реализовал его, используя функции отдыха WCF, и он работает, как я хочу.Пока все хорошо.

Моя проблема - безопасность и аутентификация.Поскольку я знаю, что для аутентификации не существует «одного способа», я прочитал несколько статей об этом ... также здесь и на других форумах, в блогах через Интернет ... и я полностью потерян.Я прочитал плюсы и минусы о SSL, OAUTH, HMAC и т. Д.

Мне нужна функция аутентификации пользователя, для меня лучше всего использовать имя пользователя / пароль.

Эти пользователи приходят из интернет-браузеров, но позже я планирую иметь в будущем еще несколько клиентов, таких как приложения для Android или IPhone.

Итак, что вы считаете лучшим (и самым простым...) способ аутентификации пользователя для протокола отдыха?

Спасибо!

.Net4 / WCF / Visual Studio 2010

Answer 1

Итак, какой, по вашему мнению, лучший (и самый простой ...) способ аутентификации пользователя по протоколу отдыха?

Самой простой схемой аутентификации RESTful, безусловно, является базовая аутентификация HTTP.,Конечно, это не очень безопасно, но это может быть первым шагом.

На стороне сервера вы можете сделать это с нулевым кодом, просто настроив обратный прокси-сервер HTTP (Apache, Cherokee или любой другой).

На стороне клиента этотакже большую часть времени имеет нулевой код (с Java, .Net, jQuery.ajax, простым XMLHttpRequest и т. д.).

Answer 2

Если вы хотите пройти аутентификацию по HTTP для службы HTTP или REST, просто следуйте указаниям AWS.Работает, работает, есть примеры реализации (как на стороне клиента, так и на стороне сервера).

http://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.html

Answer 3

По определению, для любых средств аутентификации требуется состояние пользователя.Даже если это состояние в виде пароля или API-ключа.Но эта часть REST игнорируется всеми API REST, которые я когда-либо использовал, потому что все они требуют ключа API.Возможно, REST - не лучший вариант, когда безопасность является проблемой.Браузеры хорошо отслеживают идентификаторы сеансов, а использование идентификаторов сеансов более безопасно, чем ключ API, поскольку срок действия истекает.Использование идентификатора сеанса - это очень безопасный и проверенный шаблон проектирования, хотя он «менее RESTful».Однако накладные расходы довольно минимальны.