Я разрабатываю несколько API RESTful для вызова третьей стороной, и эти API требуют аутентификации (на основе apikey & secret) и авторизации (на основе метода HTTP и URI).
Есть ли какие-либо Существующее программное обеспечение, которое мы можем использовать повторно, что мешает мне развернуть нашу собственную реализацию для уровня безопасности?
HTTP предоставляет вам предоставленную поддержку для этого, поэтому вам не нужно изобретать велосипед.
Или используйте:
Auth Digest имеет то преимущество, что он не передает пароль в открытом виде и обрабатывает атаки повторного воспроизведения (с одноразовыми номерами).
Мы используем HTTP Auth Digest (контейнер сервлетов Tomcat имеет прямую поддержку), и мы довольны этим.
РЕДАКТИРОВАТЬ: У некоторых клиентов есть проблемы с Digest (не такие тривиальные), поэтому в наши дни я бы выбрал Basic и SSL. Преимущество Basic также в том, что вы можете выполнять упреждающую аутентификацию (отправляя user: pwd в первом запросе).