我正在开始一个新项目(一个Web应用程序),并希望它通过使用AJAX的REST Web服务检索和提交大部分数据。但我几乎不知道如何确保网络服务知道谁正在访问它,只将数据提供给有资格的人。
答案 0 :(得分:3)
REST Web服务是无状态的,因此身份验证也应该是无状态的。
此身份验证最常用的方法是使用HTTP身份验证标头(此处详细信息 - &gt; http://www.ietf.org/rfc/rfc2617.txt)。这里的先决条件是您应该使用SSL \ HTTPS,否则这些HTTP身份验证标头将容易受到中级攻击中的人的攻击。</ p>
如果您的网站不使用SSL,那么您应该查看其他身份验证方法,这篇(http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/)文章详细讨论了所有这些方法。它基本上描述了Amazon Web Services用于验证非SSL请求的机制。
希望这会有所帮助。