Разработка веб-API: Как пройти проверку подлинности?
Вы пробовали с @schemaname?
DESC TABLE2@SCHEMANAME
5 ответов
Base64 не является никакой защитой вообще. Используйте SSL для реальной безопасности.
Как упомянуто truppo, сначала используйте SSL.
То, что делают много веб-сервисов, имеют "аутентифицировать" сервис, который возвращает маркер, который затем используется позже и может использоваться в простом тексте, так как это только допустимо для ограниченного количества времени. Когда это истекает, клиент просто делает другой проходит проверку подлинности.
Ключевое преимущество этого - то, что это сокращает количество запросов SSL, которое освещает нагрузку на сервер.
Только на этой неделе IETF опубликовал новый проект свойств безопасности обсуждения различных механизмов аутентификации в HTTP. Необходимо найти полезную информацию там.
Лично я рекомендовал бы, по крайней мере, читать о дайджест-аутентификации и проанализировать, если это подходит для Вас.
Используя SSL могла бы также быть опция. Однако это также решает дополнительные проблемы за счет производительности, cachability и других. Это сохраняет данные полезной нагрузки конфиденциальными. Если это - требование, то это - Ваш способ пойти.
Если это - веб-сервис, необходимо использовать более безопасную форму аутентификации. Посмотрите, например, в протоколе LiveJournal: ответ проблемы.
Не используйте регулярную usename/password аутентификацию для API. Люди действительно не должны быть вынуждены поместить учетные данные от дипломатических служб в сервисе мэшапа.
Рассмотрите использование OAuth http://oauth.net/ или по крайней мере некоторая основанная на ответе проблемы система, как предложенный Eugene.
Один простой способ состоял бы в том, чтобы позволить гостевому сервису генерировать маркер, который подключен к его приложению и пользователю. Если Вы вставляете некоторую работу, Вы могли бы даже сделать tokencreation безопасным, чтобы только разрешить дипломатические службы с некоторыми частными/с открытым ключом механизмами.
Пользователь должен авторизовать этот маркер в Вашем приложении, прежде чем гостевой сервис сможет использовать его, чтобы аутентифицироваться.