我正在为一个Web应用程序开发一个REST API,到目前为止我们已经在内部开发了几个配套应用程序.现在我们正在考虑向外部开发人员开放,我们希望向API添加令牌,以帮助确定谁在提出请求,并且通常帮助管理它的使用.此时,我们使用https和基本身份验证对API进行用户身份验证.
我们一直在讨论的令牌方案非常简单,每个开发人员将被分配一个或多个令牌,这些令牌将作为每个请求的参数传递.
我的问题是,如果你在做过之前做过类似的事情(你做得多或少,你是如何处理安全性等)并且你有什么建议吗?
谢谢!
解决方法
首先,您可能需要查看
http://OAuth.net.根据您的使用情况,它可能会提供您所需的安全性.
至于令牌,它是大多数协议的BLOB,包括OAuth.您可以以任何格式提供所需的任何信息.
这是我们做的,
>首先,我们为每个开发人员分配一个带有相关秘密
>令牌本身是加密的名称 – 值对.我们在那里放置了用户名,到期日,会话ID,角色等内容.它是用我们自己的秘密加密的,所以没有其他人可以做到.
>为了便于使用Web API,我们使用Base64的URL安全版本,因此令牌始终是URL安全的.
希望有所帮助!
