1

REST API とセキュリティに関する多くの質問を調べ、興味深い情報を見つけましたが、まだ理解できないことが 1 つあります。

したがって、httpsチャネルを介した基本認証を使用してZend Frameworkで開発されたREST APIがあります(読んだ内容を理解していれば、ログイン/パスワードは送信時に暗号化されます)。この API の目的は、Android/iPhone アプリによって呼び出されることであり、ログインとパスワードを持っている人だけが利用できます。

SO、現在、API を呼び出すには、ログインとパスワードが常に呼び出しで送信されるため、すべての呼び出しでそれらをチェックします (その結果、API への呼び出しごとに認証のためだけにデータベースへの呼び出しが行われます)。

それを回避するための何らかのセッション管理 (Web 開発など) はありますか?

感謝、

4

1 に答える 1

0

REST API はステートレスである必要がありますが、ユーザー名とパスワードを最初に送信した後に取得した秘密鍵を使用して、要求署名を使用できます。

つまり、ユーザー名とパスワードを毎回送信するのではなく、1 回だけ使用して秘密鍵を取得します。

リクエストに署名するいくつかの API を見ることができます。一部は OAuth を実装しています。

于 2012-08-10T19:45:35.753 に答える