我一直在寻找关于REST API和安全性的很多问题,并发现了一些有趣的信息,但仍有一件事我不明白。
所以,我有一个使用Zend Framework开发的REST API,它通过https通道进行基本身份验证(因此,如果我解读了我所读过的内容,则登录/密码在发送时会被加密)。 此API的目的是由Android / iPhone应用程序调用,只有拥有登录名和密码的人才能使用
那么,目前,为了调用API,登录和密码总是随着调用一起发送,因此,我在每次调用时检查它们(结果是它调用数据库只是为了在每次调用时进行身份验证) API)。
是否存在某种会话管理(如在web开发中)以避免这种情况?
感谢,
答案 0 :(得分:0)
REST API应该是无状态的,但您可以使用首次提交用户名+密码后获得的密钥来使用请求签名。
换句话说,每次都不要发送用户名和密码,只需使用一次,即可获得密钥。
您可以查看签署请求的几个API,例如。一些实施OAuth。