2

以前質問させていただいたRESTサービスによるページへのアクセス制御

しかし、アイデアを得るために、もっと簡潔に、より一般的に質問する必要があるかもしれません。

REST API があります。クライアントはブラウザです。「ログイン」は、ユーザーが資格情報を入力して認証する REST サービスの 1 つでもあります。次に、ユーザーは別のページをナビゲートし始めます。

REST APIのセキュリティ、認証・認可等については質問しませんのでご了承ください。

質問は:

ユーザーが特定の Web ページを表示する権限を持っているかどうかを確認するために、REST API を介してユーザーが以前に認証されたかどうかを確認するにはどうすればよいですか? (Web サーバーは Java ベース)

ご意見ありがとうございます。

編集:

REST APIで認可する方法についての質問は理解できたようです。

REST API による認証の後、REST API に他の要求を求めていません。REST サーバーから分離された別のドメインにあるWeb サーバーでその認証を確認したいと考えています。いくつかの回避策を想像します。ただし、デザインの代替案を聞きたいです。彼の Web サーバーと REST API を分離した人はいませんか? これは完全に間違っていますか?

4

1 に答える 1

2

Authenticationユーザーがアプリケーションにログインできるかどうかです。
Authorizationユーザーが特定のページを表示する権限を持っているかどうかです。
認証後の承認について質問していると思います。ログインPost リクエスト
を処理している間、セッション ID (暗号化され、時間制限付き) を作成し、それをレスポンス ヘッダーに設定できます。その後、そのユーザーが別のリクエストを送信するたびに、それはリクエスト ヘッダーの一部である必要があり、サーバー側ではこのセッション要求ヘッダーをユーザーに確認できます。authorize

于 2013-05-15T10:22:07.280 に答える