我目前正在创建一个用户可以查看和修改其小部件的网站.所有与存储在我的服务器上的小部件数据的交互都将通过RESTful Web服务完成.例如,如果用户想要查看其小部件列表,则执行流程将类似于:
https://www.example.com/Login.htm服务器并进行身份验证(在我的情况下通过OpenID提供程序)https://www.example.com/Widgets.htmgetWidgets()将调用javascript函数.getWidgets()将致电我的网络服务https://www.example.com/Services/Widget/12345renderWidgets(widgets)将更新html页面我不希望除了用户12345以外的任何人访问他们自己的小部件,所以我想我getWidgets()必须为我的网络服务提供一些身份验证.我不确定实现这一目标的最佳方法是什么.
我当时认为客户端和服务器可能有共享密钥getWidgets()将发送到Web服务.服务器可以生成此秘密作为随机字符串(数字,GUID或其他),并在客户端请求初始HTML页面时将其包含在响应头中.客户端在向服务器发送请求时将使用此密钥.
这听起来像是一个明智的想法吗?
这是一个常见的要求,那么是否有一种实现同样目标的标准方法?据我所知,这超出了OpenID的范围,OAuth也不合适.
提前致谢.