如何准确地实现REST API身份验证的质询响应?
我希望我的REST API服务器只能与我的iOS应用程序通信。用户群将不超过1000人,市场规模相当小,总体上不受欢迎。这就是为什么我认为,除了简单的质询-响应身份验证(HTTP、OAuth 2.0、SSL)之外的任何东西都是过火的。但我不确定这个认证应该如何进行。以下是我的想法:
- 客户端应用程序(用户)发送一个请求:api。实例com/auth?用户名=约翰
我的想法对吗?还是我完全错了?请记住,我想要基本的安全性,对于这样一个小项目来说,任何太花哨的东西都是多余的。
此外,我不会在数据库中保留任何敏感数据,如个人信息。
共有1个答案
您只需通过授权头对每个请求使用HTTP Basic auth,并通过SSL进行所有交互。如果你想要基本的安全保障,就没有必要超出这个范围。
你心中的计划有几个问题。
- 您的最后一步本质上是服务器端会话,这在REST中是不可接受的。
- MD5被有效地破坏了,除了完整性检查之外,不应该用于任何事情。
- 在REST中,如果符合您的需要,您应该使用协议提供的标准化身份验证方法。重新创建它来使用URI参数,就像你想的那样是不必要的。
- 只有当你想签署请求,保证它没有被篡改时,你脑海中的哈希方案才有意义。
-
您好,我正在尝试使用WebSecurityConfigureAdapter类实现spring的ldap身份验证。 到目前为止,我可以通过内存中的方法进行身份验证,甚至可以通过我公司的ldap服务器进行身份验证,但是,如果我在创建新上下文时传递了硬编码的userDN和密码,或者我没有创建新上下文,或者我没有输入userDN和密码,jvm就会抛出我: 我的问题是,如何从登录表单中获取用户密码和user
-
问题内容: 我正在运行此节点服务器: 我想为此服务器添加登录表单。因此,当用户通过身份验证时,它将显示。 进程中查询功能,如果未提供任何命令,则将文件返回给客户端,因此我可以将登录命令从客户端发送到服务器,但是当服务器接收到带有用户名密码的登录命令时,服务器应如何处理,应如何处理登录请求并返回登录成功或失败的信息,编写此部分需要帮助。 我试过了。 请建议我该如何添加会话,我尝试在登录功能中添加,请
-
我正在尝试在springboot中实现Basic Auth oAuth2,这意味着一些url在登录系统后应该像传统方式一样工作,而一些应该在AOuth2上工作。 就像我想允许访问SuperAdmin for admin面板一样,url从 /超级管理员/**** 我只想在登录系统后访问所有这些url。 Rest服务应该在AOuth2上工作,url从表单开始 /API/VI/* * * * * 这些U
-
我想要自定义firebase身份验证,其中用户管理下级用户的角色。我需要指导,了解如何实现自己的后端身份验证系统。文档中到处都提到“将用户名和密码发送到后端以生成自定义令牌”。这个后端是什么?我在哪里追求这个?我的知识领域是firebase,firebase functions,angular 2/4,ionic2,用于本次讨论。。。谢谢
-
问题内容: 我正在尝试通过Android的GET发送 (从导入 ),并在收到响应后引发 IOException : 在doRequestInternal()中:“收到的身份验证质询为空” 该错误是什么意思,是什么引起的?我正在将OAuth参数写入到Authorization标头中,但是我在其他场合也可以这样做,没有问题。 问题答案: 我找出原因了。 首先,对于所有不知道此错误意味着什么的人(我肯定
-
问题内容: 因此,我正在使用RESTeasy和Google App Engine开发REST Web服务。我的问题与GAE无关,但我提到它只是为了以防万一。碰巧的是,我自然需要保护自己的资源和我自己的用户(而不是Google的用户)。 REST Web服务的安全似乎是一个很有争议的主题,或者至少是一个非常“自由的”主题。REST对此没有施加任何标准。根据我在网络和文献上的研究,至少有3种方法适合我