重复:此必须与以下搜索中出现的问题之一重复:https://stackoverflow.com/questions/tagged/rest+authentication。如果您同意,请将其作为副本关闭,并为其他问题添加任何答案。
最RESTful的身份验证形式是什么?什么网站使用它? (所以我可以去看一下文档)。
看一些声称是REST的API真的是POX (例如,记住牛奶 - http://www.rememberthemilk.com/services/api/methods/)
答案 0 :(得分:1)
我不知道这是否是“最RESTful”形式,但亚马逊的S3使用的是一种记录here的身份验证方法。每个请求都已签名,因此后端没有要跟踪的会话,但您仍然可以安全地验证用户发出请求的内容。
答案 1 :(得分:1)
大多数 RESTful身份验证方法可能是HTTP Basic。因为它有一些重要的弱点(重放攻击),大多数API往往会回避它。
答案 2 :(得分:0)
Open Sourcery有一篇关于RESTful身份验证的经过深思熟虑的文章。听起来现在除了通过SSL的简单用户/通过身份验证之外没有很棒的解决方案,然后在后续请求标头中保留身份验证信息。