我正在为第三方开发几个RESTful API来调用,这些API需要身份验证(基于apikey和秘密)和授权(基于HTTP方法和URI).
是否有任何我们可以重用的现有软件阻止我推出自己的安全层实现?
HTTP为您提供了对此的支持,因此您无需重新发明轮子
使用:
HTTP Auth Basic(使用SSL绕过纯文本密码提交问题)
HTTP验证摘要
Auth Digest具有优势,它不会以明文形式传输passowrd并处理重放攻击(使用nonce).
我们使用HTTP Auth Digest(Tomcat servlet容器直接支持它),我们对它很满意.
编辑:有些客户有Digest的问题(不是那么简单),所以这些天我会选择Basic和SSL.Advantage for Basic也是您可以抢先认证(在第一次请求中发送用户:pwd).
京公网安备 11010802040832号 | 京ICP备19059560号-6 