SOAP的标准HTTP身份验证以明文形式传递密码等,我正在寻找一种替代方法,可能是基于密钥的机制来验证Web服务而不是密码。
OAuth越来越受欢迎;它是否合适,我将如何实施?或许我应该使用其他方法。
项目本身相对简单,只有一两种方法可以暴露,但安全性至关重要。
答案 0 :(得分:5)
我不明白为什么不。所有OAuth参数都可以直接在URL中使用,这意味着它几乎可以使用任何服务API。您只需要在服务的控制器中验证各种各样的部分(oauth_consumer_key,oauth_nonce,oauth_timestamp和oauth_signature)。