大家好,这似乎是经常讨论的话题,但是我想对使用RESTful服务进行身份验证提出一个简单而简单的问题。场景如下:
现在的问题是如何针对用户系统中的数据对在客户端应用程序中输入了凭据(用户名/密码)的用户进行身份验证,以确保其安全性和高性能?出于这个问题的原因,假设客户端应用程序在某种Intranet内部,但是这些应用程序将不驻留在同一台计算机上,而只能通过服务进行通信。
我了解将应用程序“由超媒体驱动”的想法,但是我们应该能够提供过滤/搜索服务。例如,考虑如下资源和API:
基于上述内容,我的想法是在用户列表上使用客户端应用程序GET,并按用户名进行过滤。该服务将哈希密码和盐返回给客户端,客户端将执行身份验证。
有什么想法吗?
最佳答案
如果我正确理解了您的问题,则您正在寻求实现可处理身份验证的通用服务,以便可以将其重新用于不同的应用程序。
我建议您看看OAuth,它是专门为此问题域而构建的。
关于web-services - RESTful用户身份验证服务,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2018416/