В настоящее время я работаю с Джерси/Джексоном, и я с трудом понимаю, как мне подойти к регистрации/регистрации для пользователей моего приложения. Что я должен учитывать при разработке такой услуги? (очень важно, чтобы оно было безопасным)Служба RESTful и логин?
Спасибо.
Один простой способ получить сеанс с RESTful Service, , вы можете создать сайт регистрации/входа, который возвращает что-то вроде Session-UUID. Клиент должен просто отправить UUID с каждым последующим запросом.
Чтобы повысить безопасность, вы должны аннулировать UUID через некоторое время.
Edit: См Session Managment with Jersey
Это основная идея, которую вы хотите снимать. Вам не нужно отправлять учетные данные для входа с каждым запросом, вы просто делаете это один раз для некоторого auth-сервиса и затем используете Session-UUID с каждым запросом, которое ваше приложение должно делать от имени пользователя. Кроме того, убедитесь, что все ваши вызовы API (особенно оригинальные auth) превышают HTTPS, а не HTTP. Это гарантирует, что контент зашифрован, а гнусные слушатели не могут украсть учетные данные или токены. – shieldstroy
Есть ли что-то готовое сделать все это, например Spring или даже автономную библиотеку? Потому что я не думаю, что это хорошая идея реализовать все это с нуля ... – thedp
Да, было бы лучше не делать это с нуля. У меня нет быстрого и легкого ответа о готовых к использованию реализациях, но, безусловно, есть некоторые. Google должен помочь вам. Ищите «пример весны OAuth» или что-то в этом роде ... Извините, я не могу помочь. Вы также можете связать себя с Google или Facebook или другим сервисом, чтобы ваши пользователи могли входить в систему со своими учетными записями, которые у них уже есть. Там также должны быть примеры того, как это сделать. – shieldstroy
Этот вопрос довольно широк, какие конкретные вещи вы с трудом с? http://stackoverflow.com/questions/4574868/securing-my-rest-api-with-oauth-while-still-allowing-authentication-via-third-pa обсуждает некоторые аспекты проблемы, которые могут вас заинтересовать. – shieldstroy
Технически безопасность приложений напрямую не связана с выбранной вами моделью RESTful. Рекомендуемым способом было бы использовать хорошо известный шаблон, используя существующие рамки, где это возможно. –
Более подробная информация о вашем приложении и платформе поможет. –