Question

Согласно REST не существует такого термина, как «вошедший в систему» пользователь, поэтому каждый запрос аутентификации должен быть пропущен, чтобы включить аутентификацию пользователя на сервере.

Вопросы:

Какие утвержденные методы на практике имеют смысл использовать? AWS? OAuth?
Как получить начальный токен, который можно затем отправить при каждом запросе?
Существуют ли какие-либо уязвимости, если кто-то получает доступ к этому токену и может идентифицировать его как другого человека, используя этот токен авторизации.

Brian Kelly · Answer 1 · 14 декабря 2011

Для REST нет органа по утверждению, поэтому нет обязательного или стандартизированного метода. Самая близкая вещь к "одобренной технике" - HTTPS.
Используйте HTTPS, и клиент должен безопасно отправлять свои учетные данные каждый раз в рамках каждого запроса. Избегайте того, чтобы сервер диктовал какой-либо токен клиенту с целью управления сеансом, потому что это больше данных, которыми сервер должен будет управлять.
Конечно, так же, как было бы плохо, чтобы кто-то получил ваш пароль электронной почты ...

Аутентификация REST на практике

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Аутентификация REST на практике

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы