个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
26
4
在使用 REST 网络服务时使用身份验证 token 而不是在每次发出请求时通过 HTTPS/加密发送用户名和密码有何值(value)?
我知道例如 OAUTH 有一些好处,因为您不需要将密码泄露给第三方,您可以将 token 传递给您不想共享用户名/密码的受信任的第三方..等等
但是除了以上这些我当然不需要的特殊好处之外,为什么我要使用 token 而不是每次都发送用户名/密码。
这可能是为了方便客户端,它不必每次都发送用户名/密码。好吧,但是现在客户必须记住我的 token 并在每次请求时向我发送 token 。因此,现在它不会记住/发送用户名/密码,而是对 token 执行相同的操作!所以客户端实现代码并没有减少。
那么这里的真正值(value)是什么?
最佳答案
这真的取决于场景——如果不了解更多 API 就很难判断——但是“身份验证 token ”的使用远非普遍,你是对的,许多 API 不需要(并且不使用) 他们。许多 API 只需要在每个请求中发送一个 API key (通常通过 HTTPS 以防止被拦截),或者需要一个 API key 来识别用户以及一个带有“ secret key ”的数字签名来证明用户的身份(参见 When working with most APIs, why do they require two types of authentication, namely a key and a secret?)。
用户名/密码在公共(public) API 中不常使用,因为它们不够灵活并且没有在用户身份和应用程序身份之间提供足够的“分离”。例如。您注册为开发人员以使用 Flickr API 并创建一个使用该 API 的 iPhone 应用程序 - 您真的希望将您的开发人员用户名/密码内置到应用程序中吗?如果您稍后更改密码怎么办?如果您想开发 5 个应用程序并分别跟踪它们的使用情况,并且能够随时关闭任何应用程序而不影响其他应用程序怎么办?
但是,对于您真正只想识别人类用户而不是应用程序的情况(例如,只为您自己的应用程序提供服务的私有(private) API 后端,而不是公共(public) API),在大多数情况下我不会这样做查看您建议的任何错误,即每个请求都通过 HTTPS 的用户名/密码。哦,顺便说一下,auth token 具有“可限制”的额外优势(可以在特定时间过期,可以仅限于某些操作,等等),但显然这只在非常特定的场景中有用。
此外:正如用户“Dan”在上面指出的那样,在设计一个需要在每个请求(或任何请求,即使只是登录请求)中发送用户名/密码的 API 时,请注意您的操作方式.如果您使用浏览器默认支持的技术(例如 HTTP Basic Auth),您将阻止自己将 API 安全地暴露给跨域用户(即很可能您的 API 永远无法直接从浏览器安全调用,即来自 AJAX/Flash/Silverlight 代码)。
这是一个复杂的主题,在这里无法完全解释,但请记住,如果您的 API 依赖于浏览器可以记住的任何安全凭证,然后“静默”注入(inject)每个请求(例如 HTTP Basic Auth, cookies),那么使用任何跨域技术(CORS、JSONP、crossdomain.xml 等)启用对该 API 的跨域访问是不安全的。
关于java - REST 服务上的身份验证 token 有什么意义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14003334/
26
4
0
我们正在创建一个 n 层 Silverlight LOB 应用程序,并且正在考虑使用 .NET RIA 服务。我们不清楚这与我们当前的 WCF 服务 API 的关系在哪里。我们当前的架构是: 银光
上下文:我在celery + rabbitmq堆栈上有一个主工作系统。 系统已docker化(此处未提供worker服务) version: '2' services: rabbit:
我是 Windows Azure 新手,我正在尝试将我的 Web 应用程序部署到 Windows Azure。在我的应用程序中,我使用了一些 Web 服务,现在我想知道如何在 Windows Azur
因此,根据我对服务的了解,自定义对象似乎是写入服务以返回数据的方式。如果我正在编写将用于 1) 填充数据库或 2) 为网站提供信息的服务,是否有返回数据集/数据表而不是包含所有这些的自定义对象列表的用
我在 google 和 stackoverflow 上都找过答案,但似乎找不到。我正在尝试将 azure 实验的输出获取到应用程序。我使用 ibuildapp 和谷歌表单制作了该应用程序。如何使用 g
我不小心删除了 kubernetes svc: service "kubernetes" deleted 使用: kubectl delete svc --all 我该怎么办?我只是想删除服务,以便
我正在努力确定解决网络服务问题的最有效方法。 我的情况:我正在开发一个 Android 应用程序,它通过 Web 服务从 mysql 数据库(在我自己的服务器 PC 上)存储和检索数据。用户按下提交按
我一直在翻阅 Android 文档,我很好奇。什么时候绑定(bind)服务而不是不绑定(bind)服务?它提供了哪些优点/限制? 最佳答案 When would you bind a service
我试图从架构的角度理解 hive,我指的是 Tom White 关于 Hadoop 的书。 我遇到了以下关于配置单元的术语:Hive Services、hiveserver2、metastore 等。
我的问题:安装服务后我无法导航到基地址,因为服务不会继续运行(立即停止)。我需要在服务器或我的机器上做些什么才能使 baseAddress 有效吗? 背景:我正在尝试学习如何使用 Windows 服务
我正在努力就 Web 服务的正确组织做出决定。我应该有多个 ASMX 来代表 Web 服务中的不同功能,还是应该有一个 ASMX? 如果我有多个 ASMX,这不构成多个 Web 服务吗? 如果我只有一
我正在从事一个在 azure 平台上提供休息服务的项目。该服务由 iPhone 客户端使用,这是选择其余方法的重要原因之一。 我们希望通过 AccessControlService(ACS) 并使用
我是 Ionic 新手,正在使用 Ionic 3.9.2 我有几个终端命令来为我的 ionic 应用程序提供服务,但是,我没有发现这两个命令之间有任何区别。 ionic serve 和 ionic s
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
作为项目的一部分,我期待着问这个问题。我过去有开发和使用 Web 服务的经验,并且非常熟悉这些服务。但是,有人告诉我,作为下一个项目的一部分,我将需要使用“安全”的 Web 服务。您能否提供一些见解,
我浏览了很多关于这个问题的信息,但找不到解决方案。这里的问题是,我想使用 Apache Cordova 和 Visual Studio 连接到 wcf。因此,如果有人找到合适的工作解决方案,请发布链接
我在 Windows 服务中托管了一个 WCF(从 MS 网站示例中选取),我可以使用 SOAP UI 访问和调用方法。但是,当我尝试使用 jquery 从 Web 应用程序调用相同的方法时,我不断收
我们构建了一个 Android 应用程序,它从 Android 向我的 PHP 服务器发送 HTTP 请求。作为响应,Web 服务将 JSON 对象发送到 Android 应用程序以显示结果。 就像其
我想在 android 应用程序中调用 soap web 服务,它需要一个枚举值作为参数,它是一个标志枚举。如何从 Android 应用程序将一些值作为标志枚举传递给此 Web 服务方法? 我使用 K
我尝试在模拟器上安装 Google Play。我已按照 Google Dev Site 中的说明进行操作. 使用 ADV 管理器似乎没问题,设备的目标是 Google API 版本 22,但是当我运行
我是一名优秀的程序员,十分优秀!