我构建了一个 iPhone 应用程序,该应用程序通过 JSON 对象通过 REST Web 服务(Jersey)将数据传输到 Java 中间层后端......
问题):
(1) 保护此 iPhone 应用程序的登录/身份验证的最佳方法是什么?
(2) 是否有用于获取此类功能的开源或商业框架?
到目前为止,我遇到过 OAuth、SAML 和 REST 身份服务
(3) 这个框架是否需要 SSL?
(4) 它是否验证客户端(不仅仅是用户)?
(5) 我是不是走错了路?意思是我应该只使用每个 REST 调用所需的加密令牌并安装 SSL 吗?
如果有人了解我的困境并能提供帮助,我将不胜感激……我知道这可以在 iPhone 应用程序上以某种方式完成,因为美国银行和亚马逊具有相同类型的登录功能和安全性。
快乐编码,
麦克风
6 月初,我在 JavaOne 上做了一个演示,在服务器上使用了 Jersey、OAuth(通过OpenSSO)和一个 JavaFX 客户端。该代码有些实验性,但它可能对您有用 - 请参阅此博客条目- 特别是评论 #2。还有一个视频对其进行了高层次的解释。我使用了 XML,但是,由于 OAuth 在 HTTP 级别上工作,它同样适用于 JSON。
顺便说一句 -有一个 Objective C OAuth Consumer 实现- 我没有使用它,但Pownce 使用了。
许多 SSO 方案依赖于在 iPhone 应用程序中可能存在问题的 url 重定向。Pownce 的人尝试在他们的应用程序中使用 OAuth,显然这种体验让用户感到困惑。经过一些研究,我决定采用一种基于安全 WSSE 用户名令牌的方法,这与 Atom 应用程序中使用的方法相同。享受。