Как аутентифицировать клиента веб-сервиса Lift REST?

Question

Я занимаюсь разработкой веб-сервиса REST с использованием Scala и LIFT и вряд ли смогу придумать, как аутентифицировать клиента.Я думал о стандартной HTTP-аутентификации, но обнаружил, что она очень небезопасна, поскольку передает пароли по сети в виде обычного текста в кодировке b64.Так как мне лучше это сделать?

Answer 1

Если вы хотите, чтобы аутентификация была защищена от наблюдения в пути, ваш единственный реалистичный вариант - HTTPS.Технически, существуют протоколы обмена ключами, такие как Диффи-Хеллман, но они широко не поддерживаются.

Но проблема наблюдения пакетов в полете практически отсутствует.В общей локальной сети возможно , хотя и не обязательно легко, использовать метчик, такой как FireSheep, но обычно проще и эффективнее пройти к компьютеру парня и установить key-logger.

Answer 2

Обычная аутентификация передаст пароль и имя пользователя в виде (почти) открытого текста. Если вместо этого вы используете дайджест-проверку подлинности, она все равно будет подвержена перехвату, но вы должны быть более защищены от кражи паролей и захвата сеанса. Эта глава в Exploring Lift содержит некоторую информацию о дайджест-аутентификации в lift: http://exploring.liftweb.net/master/index-9.html