В Securing an API: SSL & HTTP Basic Authentication vs Signature HTTP Basic Authentication цитируется как адекватный способ защиты вызовов веб-сервисов REST, если вызовы REST выполняются через SSL.Служба REST через SSL и HTTP Базовая аутентификация
Но, похоже, этот метод все равно не будет работать на незащищенной клиентской странице, которая использует Ajax для совершения вызовов службе REST, которая защищена за SSL. & Basic Auth.
Я пытаюсь разработать приложение, которое выполняет сброс пароля с помощью обычного способа:
- пользователя вводит имя пользователя и запросы «Сброс пароля» электронная
- пользователя получает электронное письмо со ссылкой для сброса пароля, который включает в себя проверяемый маркер
- пользователь нажимает на ссылку и (после того, как маркер проверено) типы в их обновленного пароле
по определению эти страниц не требуется логин. Можно ли реализовать этот интерфейс с помощью Ajax, который вызывает службы REST для выполнения таких действий, как проверка токена, отправка электронной почты и т. Д.? Даже если эти службы REST защищены за SSL. & Базовый Auth, информация, необходимая для вызова службы (то есть «» «имя пользователя» и пароль) будет в лучшем случае в виде файлов cookie, которые будут доступны через браузер.
Я знаю, что чего-то не хватает. Я просто не знаю, что :-)
Вы в конечном итоге решили это? – bryanmac