1

我一直在寻找很多关于 REST API 和安全性的问题,并发现了一些有趣的信息,但仍有一件事我不明白。

因此,我有一个使用 Zend Framework 开发的 REST API,通过 https 通道进行基本身份验证(因此,如果我了解我所阅读的内容,登录/密码在发送时会被加密)。此 API 的目的是由 Android/iPhone 应用程序调用,并且仅对拥有登录名和密码的人可用

所以,目前,为了调用 API,登录名和密码总是随调用一起发送,所以,我在每次调用时检查它们(结果是它调用数据库只是为了在每次调用 API 时进行身份验证)。

是否有某种会话管理(如在 Web 开发中)来避免这种情况?

谢谢,

4

1 回答 1

0

REST API 应该是无状态的,但是您可以使用在首次提交用户名 + 密码后获得的一些密钥来使用请求签名。

换句话说,不要每次都发送用户名和密码,只需使用一次,即可获取密钥。

您可以查看几个签署请求的 API,例如。一些实现 OAuth。

于 2012-08-10T19:45:35.753 回答