解决REST风格的认证通过HTTPS
therez真的在网络上的讨论很多认证是REST架构,所以我认为它的时候我们把在一个place.A解决方案,听起来有些好的解决方案:解决REST风格的认证通过HTTPS
(安全专家那里,PLZ评论)
- 用户登录使用自己的用户名和密码,
- 在服务器上,用户名和密码进行验证
如果凭据有效,我们得到了一个通过将时间戳与用户标识进行混合来确定唯一标识。我们使用一个表来映射uniqueId-> userid,并且我们为我们刚刚生成的唯一标识和用户标识创建一个条目。另外,我们设置一个HTTP标头说包含唯一标识和用户标识的标识,其中包含字符串连接这样
<uniqueId>#<userid>.在客户端必须提供该信息的每个请求,
如果来自客户端的请求,要求我们以确定客户端是谁,让我们可以检查他的权限,那么我们这样做:
GET HTTP标头#,
如果不包含无效的用户
如果包含检查数据库中,如果映射uniqueId->用户ID存在
如果是的,我们已经确定了用户其他非法用户
整个这个计划是在HTTPS
回答:
我不认为你需要这样一个复杂的解决方案,如果你通过HTTPS。您甚至可以要求客户端在每次请求时传输用户名和密码。只要客户没有受到损害,就没有问题。如果它受到影响,整个解决方案无论如何都会崩溃。
总的来说,我认为大多数开发者都对HTTP解决方案感兴趣,而不是HTTPS。但为此,已经有成熟的解决方案,如OpenID或OAuth。
以上是 解决REST风格的认证通过HTTPS 的全部内容, 来源链接: utcz.com/qa/265501.html
