Je construis une demande qui sera accueillie sur un serveur. Je veux construire une API d’application faciliter l’interaction avec de n’importe quelle plateforme (Web App, App Mobile). Ce que je ne comprends pas, c’est que lorsque vous utilisez l’API REST, comment nous authentifier l’utilisateur.
Pour par exemple quand un utilisateur a se connecter. Maintenant disons que l’utilisateur à créer un sujet sur le forum, comment vais-je savoir que l’utilisateur est déjà connecté ?
Pour, par exemple, lorsqu'un utilisateur de se connecter.Maintenant, disons que l'utilisateur veut créer un sujet sur le forum, Comment vais-je savoir que l'utilisateur est déjà connecté?
Pensez - y, il doit y avoir une poignée de main qui indique à votre "Créer un Forum" API que cette demande émane d'un utilisateur authentifié. Depuis les Api REST sont typiquement apatride, de l'état doivent être conservées quelque part. Votre client de consommer de l'Api REST est responsable du maintien de cet état. Généralement, c'est dans la forme d'un jeton qui est transmis depuis le temps que l'utilisateur était connecté. Si le jeton est bon, votre demande est bonne.
Vérifiez la façon dont Amazon AWS ne authentifications. C'est un parfait exemple de "renvoyer la balle" autour d'une API à l'autre.
*J'ai pensé à l'ajout de certaines pratiques de la réponse à ma réponse précédente. Essayez de Apache Shiro (ou tout authentification/autorisation de la bibliothèque). Ligne de fond, d'essayer et d'éviter le codage personnalisé. Une fois que vous avez intégré votre bibliothèque préférée (j'utilise Apache Shiro, btw), vous pouvez procéder de la façon suivante:
/api/v1/login et api/v1/logout
JSESSIONID) qui est envoyé au client (web, mobile, peu importe)/api/v1/findUser
C'est tout. Espérons que cette aide.
Vous pouvez utiliser l’authentification de base HTTP. Vous pouvez authentifier en toute sécurité les utilisateurs à l’aide de SSL sur le dessus il, cependant, il ralentit l’API un peu.
OAuth est le meilleur qu’il peut obtenir. Voir suite sur comment implémenter :
http://www.thebuzzmedia.com/Designing-a-Secure-REST-API-without-OAuth-Authentication/
Utiliser HTTP Basic Auth pour authentifier les clients, mais la traiter de nom d'utilisateur/mot de passe uniquement comme temporaire jeton de session.
Le jeton de session est juste un en-tête attaché à chaque requête HTTP, par exemple: Authorization: Basic Ym9ic2Vzc2lvbjE6czNjcmV0
La chaîne Ym9ic2Vzc2lvbjE6czNjcmV0 ci-dessus est juste la chaîne "bobsession1:s3cret" (qui est un nom d'utilisateur/mot de passe) encodé en Base64.
Pour obtenir le temporaire jeton de session ci-dessus, fournir une fonction de l'API (par exemple: http://mycompany.com/apiv1/login) qui prend master-nom d'utilisateur et le maître-mot de passe comme une entrée, crée un temporaire HTTP Basic Auth nom d'utilisateur / mot de passe sur le serveur, et renvoie le jeton (par exemple: Ym9ic2Vzc2lvbjE6czNjcmV0). Ce nom d'utilisateur / mot de passe devrait être temporaire, il expire après 20min.
Pour plus de sécurité, assurer votre REPOS de service sont servis sur HTTPS afin que les informations ne sont pas transmises en clair
Si vous êtes sur l'île de Java, Spring Security bibliothèque fournit un bon support pour implémenter la méthode ci-dessus
Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
