身份验证和 REST

Posted 2023-03-08

【中文标题】身份验证和 REST

【英文标题】：Authentication and REST

【发布时间】：2011-11-01 23:54:49

【问题描述】：

我已经实施了一个胜利服务。我想扩展它以通过 REST 启用一些功能。我已经使用 WCF 休息功能实现了它，它可以按我的意愿工作。到目前为止一切顺利。

我的问题是安全和身份验证。据我所知，身份验证没有“一种方式”，我已经阅读了几篇关于它的文章......还有这里和其他论坛，互联网上的博客......我完全迷失了。我已经阅读了关于 SSL、OAUTH、HMAC 等的优缺点。

我需要的功能是以某种方式对用户进行身份验证，用户名/密码对我来说是最好的方式。

这些用户来自互联网浏览器，但稍后我计划在未来拥有更多客户端，例如 android 或 iPhone 应用程序。

那么，您认为哪种方法最好（也是最简单的...）对用户进行身份验证以进行 REST 协议？

谢谢！

.Net4/WCF/Visual Studio 2010

【问题讨论】：

这个 SO 问题值得一读：***.com/questions/454355/…

谢谢，我之前已经看过了，但我没有得到清晰直接的答案

好的，您实际上打算如何授权您的用户，您打算使用 Windows 身份验证还是自定义数据库？

我有一个自定义数据库

Pablo 的博客条目有一个很好的例子：weblogs.asp.net/cibrax/archive/2009/03/20/… - 我刚刚下载了演示项目，它看起来很清楚，它提供了一种实现自定义会员提供程序的方法，您可以定制使用您自己的数据库，它通过基本身份验证排除用户凭据：en.wikipedia.org/wiki/Basic_access_authentication

【参考方案1】：

那么，您认为哪种方法最好（也是最简单的...）对用户进行身份验证以进行 REST 协议？

最简单的RESTful认证方案肯定是HTTP基本认证。当然，它不是很安全，但它可以是第一步。

在服务器端，您只需设置一个 HTTP 反向代理（Apache、Cherokee 或任何其他），就可以使用零代码实现。

在客户端，大部分时间也是零代码（使用 Java、.Net、jQuery.ajax、普通 XMLHttpRequest 等）。

【讨论】：

为什么说它不是很安全？

在 HTTP 上，基本身份验证意味着以明文形式发送登录名和密码...但是，为了防止窃听，您可以将基本身份验证与 HTTPS 混合使用。

【参考方案2】：

根据定义，任何身份验证方式都需要每个用户的状态。即使该状态是密码或 api 密钥的形式。但是我曾经使用过的每个 REST api 都忽略了 REST 的这一部分，因为它们都需要一个 API 密钥。当考虑到安全性时，REST 可能不是最佳选择。浏览器擅长跟踪会话 ID，并且使用会话 ID 比 API 密钥更安全，因为该值过期。使用会话 ID 是一种非常安全且经过验证的设计模式，尽管它“较少 RESTful”。但是，开销要求非常低。

【参考方案3】：

如果您想通过 HTTP 对 HTTP 或 REST 服务进行身份验证，只需遵循 AWS 的操作即可。它有效，它在生产中，有实现示例（客户端和服务器端）。

http://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.html