rest - 简单的 REST 身份验证

Question

我正在从事自己的项目(主要用于教育)，我需要为我的 REST 服务创建身份验证和授权机制。我在这里阅读了几篇文章和一些很好的答案，但我仍然无法完全理解这个过程。所以从我的角度来看，简单的身份验证和授权过程应该是这样的:

1. 用户在网络浏览器中输入登录名和密码。但是在 url 中将凭据作为常规参数传递是否安全？即使在客户端加密之后。
2. 如果传递了有效凭据，REST 服务会返回一些 token ，这对每个用户都是唯一的。此 token 应在每个请求的 http header 中传递并定义用户权限(我假设在这种情况下 SSL 是强制性的)。但是用户应该在哪里存储这个 token 呢？方法安全吗？
3. 每个请求都应该通过比较用户权限(从 header 中的 token 中获取)和资源权限的过滤器。如果拒绝访问，将返回 401 错误。

这就是我看到的解决方案，但到目前为止它似乎并不安全可靠。任何更正/建议/建议/链接？

提前感谢大家!

Answer 1

好的，我花了一些时间调查我的问题，这是我找到的解决方案

• 感谢 Suketu 的评论!可以使用 POST 和 HTTPS 在 url 中传递凭据。

• 可以为每个请求添加自定义 token ，但也可以接受基于 cookie 的身份验证。我的问题是:有 2 种类型的 HTML5 Web 存储

  1) window.localStorage - 存储没有过期日期的数据

  2) code.sessionStorage - 存储一个 session 的数据(标签关闭时数据丢失)

• 有用的链接

  如果您想获得有关基于 cookie 和基于 token 的身份验证的更多信息，您可以深入阅读 AngularJS 文章 (https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/)

  恕我直言，关于如何生成 token 和相关问题的好问题 (https://security.stackexchange.com/questions/19620/securing-a-javascript-single-page-app-with-restful-backend)

  网络存储指南 ( https://developer.mozilla.org/en-US/docs/Web/Guide/API/DOM/Storage#localStorage )

  以及 Java 开发人员如何创建 REST 服务 auth( http://howtodoinjava.com/2013/06/26/jax-rs-resteasy-basic-authentication-and-authorization-tutorial/ ) 的指南

更新关于使用 jax-rs 2.0 和 jersey 进行身份验证的最新文章 (http://www.theotherian.com/2013/07/creating-resource-filters-with-jersey.html)

希望这对某人有帮助:)