我正在使用 JavaScript(客户端)和 Python/Google App Engine(服务)编写一个 Web 应用程序,我希望用户在其中添加数据。我创建了一个欢迎页面,其中包含登录/注册框。输入正确的用户名/密码后,我希望用户获得授权,然后转发到 Web 应用程序页面,并使用户使用指定的用户 ID 向 RESTful 服务发送 AJAX 请求,即 (host/{userid}/some_resource) -并在服务端确保用户已获得授权。
我怎样才能实现这一点并确保一切安全(即永远不要以明文形式发送用户名/密码)?我发现了一些“流行语”,例如“HTTP 身份验证”和“ session ”,但无法找到关于如何实现这些内容的可靠且清晰的文章。
我还想知道不同的流行网站如何处理授权(即 GMail 通过 HTTPS 工作;Stackoverflow 和 Facebook 似乎使用 HTTP)。
最佳答案
我不喜欢重新发明轮子,因此我建议您要么使用 GAE 内置的 Google 帐户(或 OpenID)集成,要么使用 Django 用户身份验证。
GAE python 上的 Google 帐户/OpenID:http://code.google.com/appengine/docs/python/users/
Django 身份验证:https://docs.djangoproject.com/en/dev/topics/auth/
这样您就拥有了管理用户所需的一切,并且通过 Django,您还可以获得权限框架。
关于javascript - 如何为RESTful Web应用程序实现身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8435207/