iOSやAndroidなどのモバイルデバイスで使用するように設計されたPHPでREST Webサービスを構築しています。基本的に、GET リクエストはリクエストの結果を含む JSON データを返すために使用され、POST および DELETE リクエストはサービスにデータを追加するために使用されます。
基本的に、ユーザー ログイン/認証システムを実装して、ユーザーが独自のリストなどの特定のデータを要求したり、データを追加しようとしたりしたときに、ログインする必要があるようにする必要があります。
SSL を使用してサインアップと認証を保護する必要があることはわかっていますが、再発明は避けたいと考えています。これを行うための解決策を探していますか? どんな提案でも大歓迎です!ありがとう!
本物の REST Web サービスを構築している場合、セッションを持つことはできません。つまり、ユーザーが一度ログインすると、サーバーはセッションを記憶し、ユーザーはその後の呼び出しごとにそのセッションを使用します。REST サービスの場合、サーバーは「状態」を記憶しません。
各状態は、含まれる表現とそれが提供する遷移のセットによって完全に理解できます。遷移は、理解しやすいように一連のアクションに限定されます。
(出典: http://tech.groups.yahoo.com/group/rest-discuss/message/5841 )
サーバーへの各呼び出しには、ユーザーを認証するための一意の識別子が必要なため、これにより実際に作業が簡単になります。オプションには、ユーザー名とパスワードの組み合わせ、秘密鍵、およびユーザーを識別するためのその他の参照、あるいはその両方を送信することが含まれます。したがって、ユーザーが「ログイン」すると、クライアント側で詳細を記憶し (つまり、Web フォームの JavaScript で、またはアプリケーションによって、iPhone / Android のローカル ストレージに記憶されます)、呼び出しごとにそれらの詳細を送信します。残りの呼び出しを使用してログインの詳細を検証できますが、セッションは返されません。
したがって、疑似コードで答えるには:
PHP 側はシンプルです。すべての呼び出しは次のように表示されます。
もちろん、認証を必要としないサービスを追加することもできます。これには登録が含まれる場合があります。
Oauthコンシューマキーとシークレットをクライアントアプリにバンドルします。HTTPSリクエストのOauth1認証ヘッダーで署名します。現在、oauthライブラリを使用すると署名が簡単です。
Webアプリの場合、方法はありません。