REST身份验证
问题描述:
根据REST,没有“登录”用户这样的术语,所以每个请求都应该通过身份验证,以便在服务器上启用用户身份验证。REST身份验证
的问题是:
- 什么在实践中已批准的技术,这是有意义的使用? AWS? OAuth的?
- 如何获得可以随每个请求重新发送的初始令牌?
- 如果有人可以访问此令牌,并且可以使用此身份验证令牌将他标识为不同的人,是否有任何漏洞。
答
- REST没有审批机构,所以没有强制或标准化的技术。与“已批准的技术”最接近的是HTTPS。
- 使用HTTPS并让客户端每次在每个请求中都安全地发送他们的凭证。避免让服务器为了会话管理而向客户端指定任何类型的令牌,因为这是服务器必须管理的更多数据。
- 当然,就像有人得到您的电子邮件密码会很糟糕...