In Защита API: Базовая аутентификация SSL и HTTP против сигнатуры Базовая аутентификация HTTP указывается в качестве адекватного способа защиты вызовов веб-службы REST, если вызовы REST выполняются через SSL.* Но, похоже, этот метод все равно не будет работать для незащищенной клиентской страницы, которая использует Ajax для вызова службы REST, защищенной SSL и Basic Auth.
Я пытаюсь разработать приложение, которое выполняет сброс пароля обычным способом:
- пользователь вводит имя пользователя и запрашивает электронную почту "сброс пароля"
- пользователь получает электронную почтусо ссылкой для сброса пароля, которая включает в себя проверяемый токен
- пользователь нажимает на ссылку и (после проверки токена) вводит обновленный пароль
По определению эти страницы не требуется логинМожет ли этот пользовательский интерфейс быть реализован с использованием Ajax, который вызывает службы REST для таких вещей, как проверка токена, отправка электронной почты и т. Д.?Даже если эти службы REST защищены с помощью SSL и базовой аутентификации, информация, которая необходима для вызова службы (т. Е."имя пользователя" и пароль приложения ), в лучшем случае будет храниться в файлах cookie, которые будут доступны черезбраузер.
Я знаю, что что-то упустил.Я просто не знаю что :-)