我需要帮助设计我的网络应用程序。我想做一个需要身份验证的 REST Web 服务,以及一个访问该 Web 服务以获取数据的 Web 应用程序。所有用户都存储在外部数据库中(如 openldap、活动目录或其他)。
_____________ __________________
| | | |
| web app |----->| REST service |
|_____________| |__________________|
_______________
| |
| user db |
|_______________|
问题是:我需要在web app和web service上进行身份验证,还是web app可以通过web service验证登录?
希望我的问题是可以理解的
编辑:澄清情况:我的网络服务是独立的,任何类型的应用程序都可以访问它(如网络应用程序、智能手机应用程序、curl 等)。我认为我的问题也需要澄清。我想知道是否可以在服务中创建所有身份验证逻辑。我想象这样的事情:
http://mywebservice.com/login
该应用程序使用 HTTP 基本身份验证查询资源- 如果凭据有效,则响应将类似于
{"loginStatus":true}
,或者false
如果它们无效。
这是一个可能的解决方案吗?它安全吗?