Мне нужны некоторые рекомендации по защите API REST и веб-внутренней системы с использованием единой системы аутентификации.Одиночный вход для защиты API REST и внутренней веб-системы
Я ищу в возможности использования:
Вот несколько предложений, в том, как обеспечить REST API. Они связаны с iPhones, но они обычно применимы к реализациям API REST API клиент/сервер. Без дополнительной информации, которую я не знаю, как они применимы, но они могут помочь вам немного:
Security When Using REST API in an iPhone Application
https://stackoverflow.com/questions/15390354/api-key-alternative/15390892#15390892
Мы реализуем два отдельных API: 1. для REST API и 2. для внутреннего веб-приложения. Поскольку мы имеем дело с двумя разными пользователями домена, поэтому я считаю, что лучше всего иметь отдельные API аутентификации для каждого типа пользователей. – Saqib
Я предполагаю, что у вас есть пользовательский интерфейс для веб-приложение и хотите поделиться своими идентичность между вашим веб-сервером и вашим веб-сервисом. Вы можете достичь этого путем:
Есть ли способ достичь этого без необходимости проксирования всех вызовов веб-сервиса через webapp? Может ли вернуть значение прокси-байта клиенту и вызов оттуда? Каковы последствия такого шага? – chrismarx
Кажется, что ни одна из вышеперечисленных систем не выполняет это требование, и мы должны пойти на заказ. ссылка [link] (http://pages.apigee.com/oauth-big-picture-ebook.html) – Saqib
Возможно, вы захотите попробовать опубликовать это в CAS listserv, они действительно помогут с такими вопросами: http://www.jasig.org/cas/mailing-lists – blamonet