DCN*_*YAM 5 security rest web-services
我们目前有一个基于SOAP的Web服务,我们的内部应用程序使用它来验证用户.基本上,他们使用用户名和密码发送SOAP请求.Web服务针对我们的数据存储验证其凭据,并在验证成功时返回用户信息.使用BASIC身份验证和SSL保护Web服务.
我们需要对此Web服务进行修改,我正在考虑将其重新编写为REST服务.我过去创建的REST服务非常简单,不需要安全性.我从未创建过使用敏感信息的REST服务,所以我有几个问题/顾虑:
首先,是否有一种最佳实践可以安全地将敏感查询参数(用户凭据)发送到REST服务?我仍然可以使用BASIC身份验证和SSL.
其次,如果我使用POST向REST服务发送查询,它仍然被认为是RESTful,还是REST查询需要GET?
您还可以将 SSL 和基本身份验证与 REST Web 服务结合使用。
HTTP GET 通常用于数据检索(查询),但您也可以使用 HTTP POST。如果您可以使用任何类型的 HTTP 缓存,则 GET 特别有用。如果您需要传输大量数据来定义查询,或者您的 Web 服务操作需要一些复杂的数据格式而不是简单的参数,则 POST 非常有用。