假设我有一些Web API,我希望它只使用知道密码的用户。我有一个这样的网址:
GET http://api.example.com/v1/dog/123
我这里不需要太多安全保障。所以,它足够安全,只需提供这样的密码:
GET http://api.example.com/v1/dog/123?password=myPassword
当然,它是纯文本和GET请求,根本不安全。但我现在不能使用https(如果有帮助的话)。
体面但不复杂的身份验证的另一个选择是什么?
答案 0 :(得分:1)
似乎显式用户登录将是有序的。一旦用户通过身份验证,GET请求中的身份验证cookie就可以访问资源。
如果您的Web服务是Java,那么J2EE容器会为您处理所有这些。请参阅以下教程:http://docs.oracle.com/javaee/6/tutorial/doc/gkbaa.html。总而言之,应用程序服务器基于每个资源提供保护。服务器还允许您从多种身份验证方法(表单,基本,...)中进行选择。