我们开发了多客户端应用程序,即业务逻辑驻留在服务器端,接口通过REST API公开,移动/ Web客户端使用API。
该应用程序允许不同的用户注册/登录以获取用户特定的数据。我们使用基于http摘要的身份验证和令牌机制来跟踪用户状态。
但是,我们希望限制API的访问权限,即只有我们注册的移动/网络客户端才能访问它们。因此,我们引入了第二层身份验证,并将其命名为服务层身份验证。我们正在使用基于自定义令牌的系统,就像我们用于用户身份验证一样。移动客户端的全部流程对我们来说已经足够了,但对于Web客户端我们遇到了问题。如果我们在Javascript中嵌入用户凭据,任何人都可以提取这些凭据并使用API。
总之,我们想要的是在ajax调用时识别/验证基于Javscript的Web客户端。
P.S。仅仅为了澄清,使用Web客户端我的意思是我们的Web应用程序而不是浏览器。
答案 0 :(得分:0)
我相信您正在寻找凭据交换,用户提供一次硬凭证(例如用户名和密码),然后收到一个作用域令牌,用作后续请求的身份验证机制。
免责声明:我在Stormpath工作,我们提供用户管理即服务。
如果您正在构建单页应用程序(即AngularJS),我建议我最近就此主题撰写文章:https://stormpath.com/blog/why-we-rebuilt-with-angular/