私は自分のRESTアプリケーションを少し安全にする方法を検討してきました。HTTP基本認証は方法のように見えますが、要求ごとにクライアントとサーバー間でユーザー名とパスワードを転送する必要があります。を使用した場合でも正常に動作curlしますが、Javascriptファイルを使用しますか?それほどクールではありません。
私は最近、ダイジェストHTTP認証について見つけて読みました。これは、HTTP Basicが提供するセキュリティからの大きな一歩のようですが、理解するのははるかに複雑ですが、まだ完全に正直ではありません。
私はこの質問を見て、ダイジェスト方式を使用することの長所と短所について学ぶための答えですが、考えれば考えるほど、すべてが厄介になるようです。
この問題を解決するためにすでに利用可能な解決策はたくさんあるようですが、それらのほとんどは現在10歳に近づいています。
ダイジェストメソッドは、リクエストを保護する別の新しい方法のために暗闇の中で放っておくのが最善の恐竜ですか、それとも既存の優れたダイジェストライブラリがありますか?
HTTPSを使用することを考えましたか?本当に必要なのは、ドメインの署名付きセキュリティ証明書と、コードをチェックインして、そのように接続されていることを確認することだけです。そのようにSSLを使用し、サーバーとブラウザーが送受信されるデータの暗号化を自動的に処理し、すべての通信に3ウェイハンドシェイクを使用します。
認証にOAuthメソッドを使用するFacebookやTwitterなどの一般的なAPIで使用されているさまざまな認証手法を調べることができます。
Google Maps(v2)やBitlyなどの他のAPIを使用すると、URLのAPIキーを使用してAPIにアクセスできます。したがって、各ユーザーには、http://api.domain.com/get?key =supersecureapikeyのようなリクエストで使用するAPIキーがあります。
どちらの方法も優れており、ウェブ全体で広く使用されています。JavaScriptから直接APIにアクセスするだけで、APIキー/パスワードが公開されます。これを回避するための1つのオプション(私が使用するオプション)は、javascriptにサーバー上のファイルを呼び出させ、サーバー側でAPI呼び出しを実行して、キー/パスワードを[もっと]安全に保つことです。