我现在正在开发Web服务,但我希望经过身份验证的人有权使用Web服务。现在我有两种方法,一种是在每个服务中使用用户名和密码,另一种是首先使用用户名和密码登录并获取令牌,然后通过令牌访问其他服务。现在我想知道哪个更好?假设我使用https,通过用户名和密码是安全的。但我的导师告诉我们通常使用令牌。那么可以从安全性,性能或任何其他方面详细比较这两种方法吗?非常感谢!
答案 0 :(得分:0)
如果您使用的是SOAP,则可以实现soap标头身份验证。 或http标题中的基本
答案 1 :(得分:0)
按以下方式实施系统。
用户应在第一个请求中发送加密格式密码和UserID。
密码身份验证逻辑可以是您唯一的,但要确保密码不会以纯文本形式显示在SOAP消息中。
接下来在您的服务端,实现一个服务处理程序,它维护一个经过身份验证的IP地址列表。
每当新IP地址尝试联系您的服务时,您都会验证其凭据,然后如果经过身份验证,则会将IP添加到您的安全IP列表中。
如果身份验证失败,您将拒绝该请求。
如果是多个服务,请为其实现一个公共服务处理程序。并将IP列表保存为静态变量。
除此之外您可以查看Web服务安全性:
依旧......