Как защитить REST API при использовании AJAX?

Question

Есть приложение SNS с 2 серверами. Сервер веб-сервера и сервер REST API.

1. Веб-сервер позволяет пользователю Логин/выход из системы с именем пользователя/пароль, и показать пользователю информацию
2. Сервер API REST предоставляет API, как/тем,/комментарии, она должна быть без гражданства без сессии
3. The Rest API будет обслуживать другие веб-приложения

Существуют некоторые потенциальные решения, но ни одна из них не является безопасностью.

1. Base Auth, браузер удерживайте имя пользователя/пароль
2. токен с истечением временной меткой, проблема пользователь может оставаться на странице, пока маркер не истечет

Итак, есть ли способ защитить REST API при вызове из AJAX?

Answer 1

Если я правильно понял вашу проблему, я могу предложить вам использовать решение Token. Для обеспечения безопасности вы можете генерировать новый токен по каждому запросу (& отправить его клиенту в ответ), который должен использоваться для следующего запроса и отключить токен, если он когда-либо использовался или истек.

Извините, я хотел упомянуть об этом в качестве комментария, но у меня недостаточно репутации.