简单的REST身份验证

Question

我正在开发自己的项目（主要用于教育），我需要创建身份验证和我的REST服务的授权机制。 我读了几篇文章＆amp;这里有一些好的答案，但我仍然无法完全理解这个过程。因此，从我的观点来看，简单的认证过程和授权应该看起来像这样的东西：

1. 用户在网络浏览器中输入登录名和密码。但是将凭证作为常规参数传递到网址是否安全？即使在客户端加密之后。
2. 如果传递了有效凭据，REST服务将返回一些令牌，该令牌对每个用户都是唯一的。对于每个请求，此标记应在http标头中传递，并定义用户权限（我假设在这种情况下SSL是必需的）。但是用户应该存储此令牌？方法安全吗？
3. 每个请求都应该通过过滤器传递，该过滤器比较用户权限（从标头中的标记获取）和资源权限。如果应拒绝访问，将返回401错误。

这就是我如何看待解决方案，但到目前为止它似乎并不安全可靠。任何更正/建议/建议/链接？

先谢谢大家！

Answer 1

好的，我花了一些时间调查我的问题，这是我找到的解决方案

• 感谢Suketu发表评论！可以使用POST＆amp; amp;在凭证中传递凭据。 HTTPS。

• 可以为每个请求添加自定义令牌，但也可以接受基于cookie的身份验证。我的问题是什么：有两种类型的HTML5 Web存储

  1）window.localStorage - 存储没有过期日期的数据

  2）code.sessionStorage - 存储一个会话的数据（关闭选项卡时数据会丢失）

• 有用的链接

  如果您想获得有关基于cookie和基于令牌的身份验证的更多信息，您可以深入了解AngularJS文章（https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/）

  恕我直言如何生成令牌的好问题＆amp;相关问题（https://security.stackexchange.com/questions/19620/securing-a-javascript-single-page-app-with-restful-backend）

  网络存储指南（https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Storage#localStorage）

  java开发人员指南如何创建REST服务auth（http://howtodoinjava.com/2013/06/26/jax-rs-resteasy-basic-authentication-and-authorization-tutorial/）

<强>更新 关于使用jax-rs 2.0和jersey（http://www.theotherian.com/2013/07/creating-resource-filters-with-jersey.html）

的auth的更新文章

希望这对某人有用：）