保护公共REST API

时间:2012-01-09 13:38:22

标签: javascript security api rest

我在我的网站上提供服务并展示广告以免费提供。目前,我正在使用标准的同步POST请求:用户提交表单,我的服务器正在处理结果页面并显示它。 由于某些性能原因,我想让我的站点异步:创建一个REST / JSON API,将使用Javascript从用户浏览器查询,返回将由我的站点上的javascript代码处理的服务结果以显示它。我担心的是我不想让任何人使用这个API(可以通过使用一些HTTP代理轻松发现)。

你有没有遇到过这种问题?

谢谢

1 个答案:

答案 0 :(得分:2)

听起来您想要实现身份验证模块。我使用了两种不同的(以Java为中心)方法来保护RESTful Web服务。

我已经使用Spring Security进行了一些基本的HTTP身份验证,并且如果您正在实现的服务部署到Java Servlet容器或应用程序服务器,则可以正常工作。它相当轻巧,易于上手。

目前我们正在使用OpenAM作为我们的服务,理论上与Spring模块类似,但采用了不同的方法。在我看来,它更强大,更具企业级别,但学习,设置和配置需要更长的时间。

这两种方法都允许您保护对RESTful API(网址)的访问。