找到一篇文章: 如何实现RESTful Web API的身份验证
不知道文中的方法,是不是现在业界最常用的办法呢?或者说,是不是业界证明最好最有效的办法?
8 个解决方案
#1
REST 服务的安全,一般依赖于HTTP认证,HTTP认证有几种:basic,digest,token,这些都有标准的实现的开源包
需要主要的是这个认证的帐号跟你业务的帐户实际是不一样的,REST属于webService一种,他的安全是后台服务的安全,因此不需要实际的业务帐号,通常是系统keyStore证书库里的账户
需要主要的是这个认证的帐号跟你业务的帐户实际是不一样的,REST属于webService一种,他的安全是后台服务的安全,因此不需要实际的业务帐号,通常是系统keyStore证书库里的账户
#2
RESTFul url也可以用session进行验证啊。
加个filter过滤一下需要验证的URL,或者直接在你的rest action里验证。
#3
我用Shiro,很好用,是一个使用简单,功能强大的安全验证框架。
#4
验证可以单独作为一个前置服务做,比如可以借助ldap等。
#5
这样岂不是每个请求都要附加用户信息??未免效率太低了吧。。。
#6
我用Shiro,很好用,是一个使用简单,功能强大的安全验证框架。
哦?shiro还可以用来验证restful的服务?请问前辈可以给个简单的代码例子吗?拜谢!
#7
RESTFul与服务没有关系?
REST的本质是设计风格,不是技术。
REST的URL还是个URL,就是个普通的URL,访问这个URL的时候,先被Servlet Filter(即Shiro 的Filter) 拦截住,判断你有没有登录,权限等,如果没有就不让访问,如果有就进入Dispatcher进入对应的处理流程。
Shiro可以用在Web,非Web环境。
看Shiro的例子 http://www.iteye.com/blogs/subjects/shiro
REST的本质是设计风格,不是技术。
REST的URL还是个URL,就是个普通的URL,访问这个URL的时候,先被Servlet Filter(即Shiro 的Filter) 拦截住,判断你有没有登录,权限等,如果没有就不让访问,如果有就进入Dispatcher进入对应的处理流程。
Shiro可以用在Web,非Web环境。
看Shiro的例子 http://www.iteye.com/blogs/subjects/shiro
#8
由于restful web service是stateless无状态的,这样如何才能进行使用者的身份验证呢?哪位前辈可以提供一点思路吗?或者说,有现成的框架可以利用的?
找到一篇文章: 如何实现RESTful Web API的身份验证
不知道文中的方法,是不是现在业界最常用的办法呢?或者说,是不是业界证明最好最有效的办法?
RESTFul url也可以用session进行验证啊。
加个filter过滤一下需要验证的URL,或者直接在你的rest action里验证。
这样岂不是每个请求都要附加用户信息??未免效率太低了吧。。。
session是附加在cookie上的,对你应用来说是透明的。
你用框架,基本上也是用这个机制实现的
#1
REST 服务的安全,一般依赖于HTTP认证,HTTP认证有几种:basic,digest,token,这些都有标准的实现的开源包
需要主要的是这个认证的帐号跟你业务的帐户实际是不一样的,REST属于webService一种,他的安全是后台服务的安全,因此不需要实际的业务帐号,通常是系统keyStore证书库里的账户
需要主要的是这个认证的帐号跟你业务的帐户实际是不一样的,REST属于webService一种,他的安全是后台服务的安全,因此不需要实际的业务帐号,通常是系统keyStore证书库里的账户
#2
由于restful web service是stateless无状态的,这样如何才能进行使用者的身份验证呢?哪位前辈可以提供一点思路吗?或者说,有现成的框架可以利用的?
找到一篇文章: 如何实现RESTful Web API的身份验证
不知道文中的方法,是不是现在业界最常用的办法呢?或者说,是不是业界证明最好最有效的办法?
RESTFul url也可以用session进行验证啊。
加个filter过滤一下需要验证的URL,或者直接在你的rest action里验证。
#3
我用Shiro,很好用,是一个使用简单,功能强大的安全验证框架。
#4
验证可以单独作为一个前置服务做,比如可以借助ldap等。
#5
由于restful web service是stateless无状态的,这样如何才能进行使用者的身份验证呢?哪位前辈可以提供一点思路吗?或者说,有现成的框架可以利用的?
找到一篇文章: 如何实现RESTful Web API的身份验证
不知道文中的方法,是不是现在业界最常用的办法呢?或者说,是不是业界证明最好最有效的办法?
RESTFul url也可以用session进行验证啊。
加个filter过滤一下需要验证的URL,或者直接在你的rest action里验证。
这样岂不是每个请求都要附加用户信息??未免效率太低了吧。。。
#6
我用Shiro,很好用,是一个使用简单,功能强大的安全验证框架。
哦?shiro还可以用来验证restful的服务?请问前辈可以给个简单的代码例子吗?拜谢!
#7
RESTFul与服务没有关系?
REST的本质是设计风格,不是技术。
REST的URL还是个URL,就是个普通的URL,访问这个URL的时候,先被Servlet Filter(即Shiro 的Filter) 拦截住,判断你有没有登录,权限等,如果没有就不让访问,如果有就进入Dispatcher进入对应的处理流程。
Shiro可以用在Web,非Web环境。
看Shiro的例子 http://www.iteye.com/blogs/subjects/shiro
REST的本质是设计风格,不是技术。
REST的URL还是个URL,就是个普通的URL,访问这个URL的时候,先被Servlet Filter(即Shiro 的Filter) 拦截住,判断你有没有登录,权限等,如果没有就不让访问,如果有就进入Dispatcher进入对应的处理流程。
Shiro可以用在Web,非Web环境。
看Shiro的例子 http://www.iteye.com/blogs/subjects/shiro
#8
由于restful web service是stateless无状态的,这样如何才能进行使用者的身份验证呢?哪位前辈可以提供一点思路吗?或者说,有现成的框架可以利用的?
找到一篇文章: 如何实现RESTful Web API的身份验证
不知道文中的方法,是不是现在业界最常用的办法呢?或者说,是不是业界证明最好最有效的办法?
RESTFul url也可以用session进行验证啊。
加个filter过滤一下需要验证的URL,或者直接在你的rest action里验证。
这样岂不是每个请求都要附加用户信息??未免效率太低了吧。。。
session是附加在cookie上的,对你应用来说是透明的。
你用框架,基本上也是用这个机制实现的