我正在使用python在web应用程序谷歌应用程序引擎上构建图片日记.用户可以在日记中注册并发布图片.
此外,我正在努力尽可能地遵循REST架构的做法.
对于Web应用程序,身份验证方案基于此类:
1.从前端发布用户名/密码
2.如果身份验证成功,后端将设置cookie
3.使用此cookie对其余的AJAX调用进行身份验证.
有没有办法在不使用cookie的情况下符合REST?
现在,我还在构建一个Android应用程序,用户可以登录并发布/查看他们的图片日记.我需要从Web应用程序的数据存储区公开数据,因此我将构建一个Web服务来从数据存储区中获取数据.
Android客户端的身份验证方案:
选项a
1.将用户名/密码通过https发布到Web服务
2. Web服务返回唯一的授权令牌(将令牌存储在数据存储区的用户名/ pwd表中)
3.请求后续服务通过将此标记添加到请求的请求标头
4.服务器将标记映射到用户名/ pwd表,并在找到
标记时返回数据5.授权令牌在一段时间后过期
选项b
1.在客户端和服务器端设置密钥
2.在每个请求的授权标头中使用"username:hash of password and secret key"
3.服务器通过使用哈希值从哈希值中提取密码来生成密码相同的哈希算法; 如果成功返回数据
btw,我不想使用基本授权,因为它的安全漏洞.
哪个更好 ?
还有其他明显更好的方法来完成我正在尝试做的事情吗?对我来说,安全性是一个令人担忧的问题.
如果有人对此问题有任何了解,我将不胜感激.谢谢.
我自己一直在研究什么是最好的解决方案.我认为,正如莱昂姆所建议的那样,两条腿的oauth可能会起作用.
在这种情况下,服务器必须向客户端提供消费者密钥/秘密,在我的情况下,在应用程序中硬编码.
现在的步骤是:
1.使用oauth_parameters(consumer_key,signature_method,timestamp),请求url,请求参数和SECRET生成签名.
2.在提出请求时包括签名,oauth参数.
3.服务器通过再次生成签名来验证请求,除非在这种情况下它使用与密钥对应的SECRET
我认为这样我几乎可以确认REST原则.据我所知,服务器是无定形的.
以这种方式做事的利弊是什么?