После создания базовой службы REST я подошел к точке, где было бы целесообразно добавить некоторую защиту паролем, так как мне нужно проверить, что мои пользователи правильно зарегистрированы и имеют достаточные разрешения для выполнения любого действия они собираются.Пароль, защищающий услугу REST?
Служба REST в основном будут доступны из Javascript-тяжелых веб-интерфейсе и с этим в виду, я пришел с двумя следующими альтернативами для решения этой проблемы:
Сделать пользователей войти в систему с помощью первой отправки учетных данных на страницу
/login
сPOST
. Страница устанавливает cookie сеанса, в котором пользователь имеет , помеченный как зарегистрированный, вместе с уровнем разрешений. По каждому запросу я проверяю, что пользователь вошел в систему и его/ее уровень . Когда сеанс истекает, автоматически или вручную (выход из системы, пользователь должен будет повторно войти в систему).Временно сохранять учетные данные, хранящиеся локально, и отправлять учетные данные пользователей по каждому отдельному запросу пользователя, чтобы проверить учетные данные & с правами доступа на основе запроса.
Есть ли еще способы решить эту проблему и есть ли что-то еще, что я должен беспокоить?
Если ваш бэкэнд находится на Java, вы также можете использовать [Apache Shiro] (http://shiro.apache.org/), он прекрасно справится с большинством ваших проблем. – pierpytom