0

私は次の問題の解決策を探していましたが、これまでのところ成功していません。特定のアクション(DELETEなど)で特別な認証が必要なRESTfulWebサービスを計画しています。

アイデアは、ユーザーがサービスにアクセスできる通常のユーザー名/パスワードログイン(セッションベースまたは基本認証、ここでは実際には重要ではありません)を持っているということです。一部のアクションでは、PINコードまたはワンタイムパスワードの形式で追加の認証が必要になる場合があります。ログインプロセスに追加の認証を含めることはできません(そして、演習全体の要点を見逃してしまいます)。

特別なヘッダー(X-OTP-Autheticationなど)について考えましたが、標準のHTMLページを介してサービスにアクセスできなくなります(リンクにカスタムヘッダーを含めることはできません)。もう1つのオプションはHTTPクエリパラメータでしたが、特にDELETEの場合は推奨されないようです。

この問題に取り組む方法はありますか?

4

1 に答える 1

1

jQueryフロントエンドを使用したRESTWebサービスセキュリティから

まだ読んでいない場合は、OAuth1.0および2.0を読むことをお勧めします。これらは両方とも、Facebook、Netflix、Twitterなどのより大きなAPIのいくつかで使用されています。2.0はまだドラフト中ですが、クライアントがより簡単に使用できるため、誰もが2.0を実装して使用することを妨げていません。より複雑で安全なものが必要なようですので、1.0に焦点を当てることをお勧めします。

私はいつもNetflixの認証の概要がクライアントにとって良い説明だと思っていました。

于 2011-06-22T13:48:51.993 に答える