我正在创建一个简单的会议应用程序(基于Java)并使用RESTFull Web服务来公开功能。
我想实施一些授权。工作流程应该像:
1)应用程序收到了一个xml请求,该请求具有用户名/密码。
2)作为回应,应用程序应提供一些密钥(用于进一步请求的授权)
3)现在,对于此用户的每个传入请求,此密钥应在xml请求中可用,以便应用程序可以授权用户。
请建议我应该如何实现这一点以及最佳方法。
我正在寻找一些授权框架并遇到了OAuth。请建议。
先谢谢...寻找您的反馈
答案 0 :(得分:2)
应用程序密钥..每次app服务器都会将分配的密钥发送到xml中的webservice,该web服务将在与应用服务器映射的数据库的webservice过滤器级别上进行检查..即每个应用服务器将具有单独的pre已分配密钥以与Web服务进行通信。
如果您想在用户级别使用此密钥,那么当应用程序向服务发送用户登录请求时,将使用用户名+密码+ currentTimeStamp 生成动态编码密钥,并将其保存在db中以获取当前值如果凭据正确(成功登录),则会在登录请求对用户的响应中返回此密钥。并且会在当前会话的每个客户端请求中传递相同的密钥,因为会话将过期(在默认注销时间或手动注销发生之后)密钥将在DB中停用。该过程将针对每个用户及其每个登录会话执行。
答案 1 :(得分:1)
Oracle有一个很好的教程如何使用REST和oAuth来保证安全。请找到链接 Securing REST Web Services With OAuth
希望这会对你有所帮助。