0

我一直在寻找以下问题的解决方案,但到目前为止没有成功:我正在计划一个 RESTful Web 服务,其中某些操作(例如 DELETE)应该需要特殊身份验证。

这个想法是,用户有一个正常的用户名/密码登录(基于会话或基本身份验证,在这里并不重要),他们可以使用它来访问服务。某些操作需要以 PIN 码甚至一次性密码的形式进行额外的身份验证。在登录过程中包含额外的身份验证是不可能的(并且会错过整个练习的重点)。

我考虑过特殊的标头(类似于 X-OTP-Authetication),但这将导致无法通过标准 HTML 页面访问服务(无法在链接中包含自定义标头)。另一种选择是 HTTP 查询参数,但似乎不鼓励这样做,尤其是对于 DELETE。

任何想法如何解决这个问题?

4

1 回答 1

1

来自带有 jQ​​uery 前端的 REST Web 服务安全性

如果您还没有,我建议您阅读OAuth 1.02.0。它们都被一些更大的 API 使用,例如 Facebook、Netflix、Twitter 等。2.0 仍处于草案阶段,但这并没有阻止任何人实施和使用它,因为它对客户来说更易于使用。听起来您想要更复杂、更安全的东西,因此您可能希望专注于 1.0。

我总是发现 Netflix 的身份验证概述对客户来说是一个很好的解释。

于 2011-06-22T13:48:51.993 回答