Рекомендация Restful API-аутентификации?
Я разрабатываю несколько API RESTful для вызова третьей стороной, и эти API требуют аутентификации (на основе apikey & secret) и авторизации (на основе метода HTTP и URI).
Есть ли какие-либо Существующее программное обеспечение, которое мы можем использовать повторно, что мешает мне развернуть нашу собственную реализацию для уровня безопасности?
1 ответ
HTTP предоставляет вам предоставленную поддержку для этого, поэтому вам не нужно изобретать велосипед.
Или используйте:
- HTTP Auth Basic (с SSL для обхода проблемы с отправкой пароля в виде обычного текста)
- HTTP Auth Digest
Auth Digest имеет то преимущество, что он не передает пароль в открытом виде и обрабатывает атаки повторного воспроизведения (с одноразовыми номерами).
Мы используем HTTP Auth Digest (контейнер сервлетов Tomcat имеет прямую поддержку), и мы довольны этим.
РЕДАКТИРОВАТЬ: У некоторых клиентов есть проблемы с Digest (не такие тривиальные), поэтому в наши дни я бы выбрал Basic и SSL. Преимущество Basic также в том, что вы можете выполнять упреждающую аутентификацию (отправляя user: pwd в первом запросе).