0

我需要帮助设计我的网络应用程序。我想做一个需要身份验证的 REST Web 服务,以及一个访问该 Web 服务以获取数据的 Web 应用程序。所有用户都存储在外部数据库中(如 openldap、活动目录或其他)。

 _____________        __________________
|             |      |                  |
|   web app   |----->|   REST service   |
|_____________|      |__________________|

                      _______________
                     |               |
                     |    user db    |
                     |_______________|

问题是:我需要在web app和web service上进行身份验证,还是web app可以通过web service验证登录?

希望我的问题是可以理解的

编辑:澄清情况:我的网络服务是独立的,任何类型的应用程序都可以访问它(如网络应用程序、智能手机应用程序、curl 等)。我认为我的问题也需要澄清。我想知道是否可以在服务中创建所有身份验证逻辑。我想象这样的事情:

  1. http://mywebservice.com/login该应用程序使用 HTTP 基本身份验证查询资源
  2. 如果凭据有效,则响应将类似于{"loginStatus":true},或者false如果它们无效。

这是一个可能的解决方案吗?它安全吗?

4

1 回答 1

0

第一件事......“我需要在Web应用程序和Web服务上进行身份验证,还是Web应用程序可以通过Web服务验证登录?” ......两者都是可能的......取决于您的选择和实施。但是为了在所有情况下使流程统一以使用 DB,来自 Web 应用程序的调用应该转到 Web 服务,如图所示。我认为在登录时,客户端应该调用 Web 应用程序服务器,并且 Web 应用程序调用 Web 服务来查看数据库以检查凭据。

可以有很多方法..有时 Web 应用程序大量使用 AJAX,并且从客户端本身他们直接调用 REST 服务来获取数据或检查凭据。

于 2013-06-26T06:09:14.880 回答