Ind*_*ial 13 authentication rest
在创建基本REST服务之后,我已经到了适当的位置来添加某种密码保护,因为我需要验证我的用户是否都已正确记录并且具有足够的权限来执行他们所做的任何操作即将.
REST服务将主要从一个Javascript前端访问,考虑到这一点,我已经提出了以下两个替代方案来解决这个问题:
首先通过向/login页面发送凭据来使用户登录POST.该页面设置会话cookie,其中用户被标记为已登录,以及权限级别.在每个后续请求中,我验证用户是否已登录以及他/她的权限级别.会话到期时,自动或手动(注销,用户必须重新登录).
临时保存本地散列的凭据,并在用户发出的每个请求中发送用户凭据,以便根据请求验证凭据和权限后端.
有更多方法可以解决这个问题,还有其他一些我应该关注的问题吗?
Fil*_*efp 18
我目前正在开发一个REST API和一个客户端(用javascript编写),下面我将尝试解释用于保护API免受未授权访问的方法.
Auth-Key除此之外,要求REST API 在每次请求API时都需要一个标头/api/authenticate.
/api/authenticate将使用用户名和密码(使用发送POST),并返回用户信息Auth-Key.
这Auth-Key是/api/authenticate在users使用特定用户条目调用并存储在后端表中之后随机生成md5的,远程ip 的哈希值和客户端提供的用户代理.
在每个请求中,搜索的值和所提Auth-Key及的md5总和users.如果发现在过去N几分钟内一直处于活动状态的有效用户,则将授予用户访问权限,如果不是:http返回代码401.
在REST客户端中,首先Auth-Key通过发布到/api/authenticate,然后将此值存储在变量中,并在每个将来的请求中发送.
| 归档时间: |
|
| 查看次数: |
12656 次 |
| 最近记录: |