RESTful身份验证的最佳实践

时间:2014-05-06 22:57:08

标签: http rest http-headers restful-authentication http-basic-authentication

感谢所有人查看这个问题。

我不确定这是怎么回事,所以我要求社区帮助解决这个问题。 我在他的帖子Can you help me understand this? "Common REST Mistakes: Sessions are irrelevant"中读到,会话不完全"完全"建议使用REST约定,并且应使用HTTP Basic身份验证或摘要进行所有身份验证。

好的,到目前为止,我明白了 但据我所知,基本身份验证是在实际服务器上针对常规的非加密文本文件进行的。 是否会违反惯例,将用户名/密码放在http请求参数中,而不是通过标头传递它们并让Web服务器进行身份验证?

这样,对于每个请求,都将使用我自己的逻辑检查和管理用户/传递参数。我的意思是使用数据库表,其中包含应用程序所需的所有信息。

1 个答案:

答案 0 :(得分:0)

基本身份验证由服务器处理,但服务器选择处理它。当然不必是包含用户名和密码的纯文本文件!我当前的客户端将密码存储在其数据库中的单向盐渍哈希中。在传入请求中,明文密码从标题中拉出,加盐,散列,并与数据库值进行比较。

在请求参数中输入密码是一个非常糟糕的主意。当用户将URL复制并粘贴到他们的同事的电子邮件时会发生什么?