Я должен реализовать безопасный RESTful web services. Я уже проводил некоторые исследования с использованием Google, но я застрял.Как защитить веб-службы RESTful?
Варианты:
TLS (HTTPS) +
- HTTP Basic (pc1oad1etter)
- HTTP Digest
- two-leggedOAuth
- a Cookie-based approach
- сертификаты клиента (Tom Ritter и here)
- Подписанные запросы с использованием HMAC и a limited lifetime
Есть больше возможных вариантов для рассмотрения? Если OAuth тогда какая версия? Это даже имеет значение? Из того, что я читал до сих пор OAuth 2.0 с токенами-носителями (то есть без подписи), кажется, insecure.
Я нашел еще одну очень интересную статью о REST based authentication.
Secure Your REST API... The Right Way
Хорошо, теперь я смущен, какой из них лучше, этот подход или [другой ответ] (http://stackoverflow.com/a/4819214/1197317). Не могли бы вы уточнить? : D – BornToCode
Ваш ответ будет идеален для мастеров, но это путает для новичков. Можете ли вы предоставить подробную информацию или ссылки для чтения? –
Если сертификаты самоподписаны, все равно «очень безопасно»? – Joyce