我需要提供商中的安全Restfull服务。 我希望用户必须具有使用REST服务的授权,并且如果不是注册开发人员,我可以生成use stadistic或只是不允许调用REST服务。

我一直在考虑用户在URL(http://autor.derf.com/api/search/email?=dsdfd@gmail.com&passwd=dasffsdf;)中发送电子邮件和密码,但这并不是很安全。

另外,我已经阅读了有关oauth 2.0的信息,但该文档对于Java来说非常糟糕。

还有其他方法可以拥有具有授权的RESTful API吗?

我想通过Iphone,Android,Windows Phone和Web访问Restfull API

提前致谢 ;)

===============>>#1 票数:1 已采纳

如果您打算自己编写服务的所有客户端(iPhone,Android等),则只要提供者通过安全的传输层(例如SSL / HTTPS)进行通信,发送电子邮件和密码是不错的选择。

如果您感觉要公开API,则可以随时添加对OAuth 1或2的支持。 (使用OAUth的整个想法是保护用户的密码,并获得对客户端可以使用的API以及使用多长时间的更细粒度的控制)。

但是,在您的情况下,我至少会考虑使用基本身份验证,其中典型的HTTP请求看起来像这样:

GET /path/to/api HTTP/1.1
Host: www.example.com
Authorization: Basic aHR0cHdhdGNoOmY=

“ Basic”之后的哈希只是简单的base64编码的"username:password" ,或者在您的情况下为"email:password" 如果有人拦截了它,则很容易简单地取消编码以获得纯文本用户凭据。 因此,HTTPS是必须的。

» 有关Wikipedia上基本身份验证的更多信息

  ask by Rom translate from so

未解决问题?本站智能推荐:

1回复

实现OAuth2.0的Restful Zend Fr API提供程序?

有没有人遇到过说明如何开发实现OAuth2.0的Restful Zend Framework API提供程序的教程? 我一直在使用OAuth1.0,但是此协议具有OAuth2.0解决的一些限制。
1回复

ASP.NET Web API:OAuth服务提供者

我想为我的RESTful Web API添加OAuth授权,该API基于ASP.NET Web API构建。 优选地,能够使用[授权]属性。 您能举例说明如何创建自己的服务提供商或使用某些库吗?
2回复

MVC RESTful服务授权

我正在为我的公司重写一些非常过时的.NET 2.0 SOAP Web服务。 所以我用MVC3 RESTful重写它们。 此方法将简化我们的服务在我们的客户群(使用我们当前的SOAP服务的500多个客户端)上的使用,这些客户端位于多个平台和语言上。 我正在寻找一种更好的RESTful服务
1回复

通过用户权限过滤RESTful API中资源的最佳方法是什么?

假设我们有两种用户,管理员和标准用户。 我们有一个名为post的资源。 对于GET方法,我希望管理员查看所有帖子,但标准用户只能看到post.created_by={currentUserID}帖子。 现在我有三个选择: 使用/api/post和/api/mypost 。
3回复

如何保护RESTful Web服务?

我必须实现安全的RESTful Web服务 。 我已经使用谷歌进行了一些研究但是我被卡住了。 选项: TLS(HTTPS)+ HTTP Basic(pc1oad1etter) HTTP摘要 两条腿 OAuth 基于Cookie的方法 客户证
2回复

Symfony3自定义用户提供程序不起作用

我尝试根据Symfony文档实施所有操作,但是身份验证似乎根本不起作用。 看看我到底做了什么: security.yml StUser.php实体 UserRepository.php存储库: AccountController.php login.htm
1回复

使用NGINX的Keycloak Oauth2提供程序保护我的RESTful服务

我们在某个URI上有一些Restful服务,我们想在网络上发布我们的服务以在我们的移动应用程序(用Java编写)中使用它们, 我们的服务位于无法同时处理太多请求的服务器上,为此使用了proxy_pass功能, 因此,我在中间服务器上使用了Nginx来控制对REST服务器的访问,
2回复

设置Java OAuth提供程序

所以,我正在尝试用Java设置OAuth提供程序,但我无法理解它。 无论我到哪里,我总是在这里重定向(http://oauth.net/code),但没有文档。 有人可以一步一步地帮助我,或者引用我更直接的指南吗? 我甚至在构建库时遇到了麻烦。 有人可以帮我吗? 非常感谢你。
2回复

如何处理进入oauth提供者的用户会话?

我最终确定了基于Jersey的OAuth 1.0a提供程序,但面临一个小问题,我不知道该如何处理 在OAuth跳舞期间,用户必须使用其凭据(登录名/密码)进行身份验证 就我的实施而言,目前,他必须每次都进行身份验证 在授权步骤中,唯一发送到Web服务的令牌是与使用者相关的请求令
1回复

尝试在金字塔oauth提供程序中生成请求令牌时出现无效的签名错误

我正在尝试使用Pyramid应用程序中的oauth2生成请求令牌,以控制对我正在开发的API的访问。 我一直试图从此示例验证我的使用者密钥和机密性。 在Pyramid request_token端点上,我具有以下内容: ( ConsumerKeySecret.getByConsume