通過SSL和HTTP基本身份驗證的REST服務
[英]REST service through SSL and HTTP Basic Authentication
問題描述
在保護API中:SSL和HTTP基本身份驗證與簽名如果通過SSL進行REST調用,則將HTTP基本身份驗證作為確保REST Web服務調用安全的適當方法。
但是,對於使用Ajax調用受SSL和基本身份驗證保護的REST服務的不安全客戶端頁面,該方法似乎仍然無法使用。
我正在嘗試設計一個使用常規方法執行密碼重置的應用程序:
- 用戶輸入用戶名並請求“重置密碼”電子郵件
- 用戶收到帶有密碼重置鏈接的電子郵件,該鏈接包含可驗證的令牌
- 用戶單擊鏈接,然后(在驗證令牌之后)輸入其更新的密碼
通過定義這些網頁不需要登錄。 是否可以使用Ajax來實現此UI,Ajax調用REST服務來執行諸如驗證令牌,發送電子郵件等操作? 即使這些REST服務受SSL和基本身份驗證的保護,您調用該服務所需的信息(即應用程序的 “用戶名”和密碼)也將最好在cookie中,這些cookie可以通過瀏覽器訪問。
我知道我缺少什么。 我只是不知道什么:-)
2 個解決方案
解決方案1
1 2011-09-01 02:41:12
只要在SSL下發生1-3次,數據就可以通過網絡安全傳輸到服務器(假設您信任證書頒發機構)
在此過程中,瀏覽器將這些憑據保存在內存中。 您別無選擇,只能相信用戶是否要輸入數據。
網站代碼確定是否將信息存儲在cookie中。
我認為如果1-3使用SSL,您應該可以。
解決方案2
0 2011-09-01 02:35:30
我不知道您要保護什么,所以我只是想一想。
如果您(或其他提供幫助的人)無法控制依賴方的根列表,則SSL和TLS沒有意義。 我之所以這樣說,是因為我希望,如果您不信任那個帶鎖鑰匙的人,那么您就不會把錢投入他的金庫中。 因此,可以這么說,如果加載登錄頁面的用戶非常瘋狂,那么通過TLS的用戶/訪問權限就很低,絕對足以保護我最喜歡的電影列表。
卡比稱贊所有人都是FSM
從bpel進程調用需要基本http身份驗證的Web服務
[英]Calling web service requiring basic http authentication from a bpel process
通過SSL的HTTP基本身份驗證是否比2腳Oauth更不安全?
[英]Is HTTP basic authentication over SSL any less secure than 2 legged Oauth?
在沒有SSL的情況下通過PHP Curl將基本身份驗證與localhost服務一起使用是否安全?
[英]Is it safe to use basic authentication with localhost service via PHP Curl without SSL?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.