我正在使用Python在Google App Engine上构建一个图片日记Web应用程序。用户可以注册并发布图片到他们的日记中。
此外,我尽可能地遵守REST体系结构的规定。
Web应用程序的身份验证方案如下: 1.从前端发布用户名/密码 2.如果验证成功,则后端设置一个cookie。 3.使用此cookie对其余的AJAX调用进行身份验证。
有没有不使用cookies来符合REST的方法?
现在,我还正在构建一个Android应用程序,用户可以登录并发布/查看他们的图片日记。我需要公开Web应用程序数据存储库中的数据,因此我将构建一个Web服务来从数据存储库中提取数据。
Android客户端的身份验证方案: 选项a 1.通过https向Web服务发布用户名/密码 2.Web服务返回唯一的授权令牌(将令牌存储在数据存储库的用户名/密码表中) 3.通过将此令牌添加到请求的请求头来请求后续服务 4.如果找到令牌,则服务器将该令牌映射到用户名/密码表并返回数据 5.授权令牌会在一定时间后过期
选项b 1.在客户端和服务器端设置一个秘密密钥 2.在每个请求的授权标头中使用“用户名:密码和密钥的哈希值” 3.服务器通过使用相同的哈希算法从哈希值中提取密码来生成密码;如果成功,则返回数据 顺便说一下,我不想使用基本授权因为它存在安全漏洞。
哪个更好?
有没有其他更好的方法可以实现我想做的事情?安全性是我非常关心的问题。
我一直在研究什么是最佳解决方案。我认为Leonm建议的2-legged OAuth可能适合我的情况。 在这种情况下,服务器必须向客户端提供使用者密钥/密钥对,而这在我的应用程序中是硬编码的。现在的步骤如下:
1. 使用oauth_parameters(consumer_key,signature_method,timestamp),请求url,请求参数和SECRET生成签名。
2. 在发出请求时包括签名和oauth参数。
3. 服务器通过再次生成签名来验证请求,但这次使用与密钥对应的SECRET。
我认为这样做基本上是符合REST原则的。据我所知,服务器是无状态的。
这种方法的优缺点是什么?
此外,我尽可能地遵守REST体系结构的规定。
Web应用程序的身份验证方案如下: 1.从前端发布用户名/密码 2.如果验证成功,则后端设置一个cookie。 3.使用此cookie对其余的AJAX调用进行身份验证。
有没有不使用cookies来符合REST的方法?
现在,我还正在构建一个Android应用程序,用户可以登录并发布/查看他们的图片日记。我需要公开Web应用程序数据存储库中的数据,因此我将构建一个Web服务来从数据存储库中提取数据。
Android客户端的身份验证方案: 选项a 1.通过https向Web服务发布用户名/密码 2.Web服务返回唯一的授权令牌(将令牌存储在数据存储库的用户名/密码表中) 3.通过将此令牌添加到请求的请求头来请求后续服务 4.如果找到令牌,则服务器将该令牌映射到用户名/密码表并返回数据 5.授权令牌会在一定时间后过期
选项b 1.在客户端和服务器端设置一个秘密密钥 2.在每个请求的授权标头中使用“用户名:密码和密钥的哈希值” 3.服务器通过使用相同的哈希算法从哈希值中提取密码来生成密码;如果成功,则返回数据 顺便说一下,我不想使用基本授权因为它存在安全漏洞。
哪个更好?
有没有其他更好的方法可以实现我想做的事情?安全性是我非常关心的问题。
我一直在研究什么是最佳解决方案。我认为Leonm建议的2-legged OAuth可能适合我的情况。 在这种情况下,服务器必须向客户端提供使用者密钥/密钥对,而这在我的应用程序中是硬编码的。现在的步骤如下:
1. 使用oauth_parameters(consumer_key,signature_method,timestamp),请求url,请求参数和SECRET生成签名。
2. 在发出请求时包括签名和oauth参数。
3. 服务器通过再次生成签名来验证请求,但这次使用与密钥对应的SECRET。
我认为这样做基本上是符合REST原则的。据我所知,服务器是无状态的。
这种方法的优缺点是什么?