Вы можете использовать схему аутентификации HTTP Basic, которая использует HTTP-заголовок Authorization
. При обычной проверке подлинности клиент должен предоставить свои учетные данные для каждого запроса. поэтому вы можете предпочесть схему аутентификации Digest, которая немного более безопасна.
Без дополнительной информации я могу порекомендовать OAuth 2.0 с Клиентские полномочия Тип гранта. В принципе, клиент использует базовую аутентификацию с учетными данными своего клиента после, чтобы получить токен доступа, а затем использует токен доступа для последующих запросов ресурсов. Как правило, токен доступа отправляется с использованием HTTP-заголовка Authorization
.
OAuth действительно является разрешение рамки, но это обеспечивает хорошее решение для API аутентификации также, и вы могли бы найти свои инструменты авторизации, полезные для обеспечения доступа к API ресурсов. Может быть, что тип субсидии применим также к вашему прецеденту.
Относно: Best Practices for securing a REST API/web service
HTTP-заголовок кажется лучшим. – crush
Я слышал, что некоторые прокси-серверы перекрывают поле заголовка http, когда они этого не знают. – freakout