针对移动客户端的RESTful Java Web服务中的身份验证

Question

针对移动客户端的RESTful Java Web服务中的身份验证

javaweb-servicesrestauthenticationgrails

4

我已经找到了很多学术上的答案，但我希望能从实践者那里得到一个答案。

背景

我想创建一个基于Java的RESTful API，使用Grails框架为各种移动客户端（iOS和Android）提供访问受保护资源的服务。我需要在某些请求上进行身份验证，并且我已经设置了SSL加密（因此所有请求都通过https进行）。我的Web API最终将作为服务公开给其他Web应用程序。

问题

人们推荐哪种身份验证方法用于移动设备以及最终要被其他Web应用程序使用的Web服务？

以下是我认为可供选择的选项。您能告诉我每个选项适合什么情况吗？

我可以使用HTTP基本身份验证
我可以使用HTTP摘要身份验证
我可以实现OAuth身份验证（1.0或2.0）？
我可以将凭据作为请求参数传递
我可以使用上述身份验证方法，然后传递委托/令牌进行身份验证
我可以实现自己的自定义HTTP身份验证标头
我可以使用cookie并在每个请求中将其传递给服务器
其他...？

需求

如果您有任何倾向，请告诉我为什么选择该方法。更好的是，如果您在Grails中实现此操作，我非常感兴趣。

我已经知道...

我已经阅读了这里和Richardson和Ruby的书《Restful Web Services》中的优秀答案。

- KappaMax

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Alex Pavlov · Accepted Answer

REST是一种无状态协议，因此使用“工作会话”——我的意思是登录/工作/(自动)注销概念有些可疑。由于其简单性，将凭据作为每个请求的参数发送似乎是最常用的方法。只需记住：

1）API URL必须仅使用SSL——最好使用专用域名和IP地址，例如api.example.com，并配置您的Web服务器仅处理此地址和域的SSL。以避免意外泄露凭据。

2）如果可能，请避免在请求中使用登录/密码，而使用“API密钥”（共享密钥）代替。如果您只需要进行身份验证（即您不需要授权（所有用户共享相同的权限）并且不需要记录日志（谁做了什么）），则始终可以使用“API密钥”代替登录/密码。

3）与每个请求一起发送API密钥不如使用共享密钥对请求进行“签名”并提供签名更好。如果密钥足够长，则可以在纯未加密的HTTP上使用此技术。

===回复评论===

如果您需要授权，请使用基本身份验证：

HTTPBuilder builder = new HTTPBuilder("https://api.example.com/v1/foo/bar")
builder.auth.basic(login, password)
builder.headers.put('Accept', 'application/json')
def result = builder.request(POST, JSON) { req ->
     body = [
                ....
            ]

     response.'201' = { resp, json ->
                ....
     }

     response.success = { resp, json ->
                ....
     }

     response.failure = { resp ->
                log.error "failure, ${resp.statusLine}"
     }
}