在使用 REST 网络服务时使用身份验证 token 而不是在每次发出请求时通过 HTTPS/加密发送用户名和密码有何值(value)?
我知道例如 OAUTH 有一些好处,因为您不需要将密码泄露给第三方,您可以将 token 传递给您不想共享用户名/密码的受信任的第三方..等等
但是除了以上这些我当然不需要的特殊好处之外,为什么我要使用 token 而不是每次都发送用户名/密码。
这可能是为了方便客户端,它不必每次都发送用户名/密码。好吧,但是现在客户必须记住我的 token 并在每次请求时向我发送 token 。因此,现在它不会记住/发送用户名/密码,而是对 token 执行相同的操作!所以客户端实现代码并没有减少。
那么这里的真正值(value)是什么?
最佳答案
这真的取决于场景——如果不了解更多 API 就很难判断——但是“身份验证 token ”的使用远非普遍,你是对的,许多 API 不需要(并且不使用) 他们。许多 API 只需要在每个请求中发送一个 API key (通常通过 HTTPS 以防止被拦截),或者需要一个 API key 来识别用户以及一个带有“ secret key ”的数字签名来证明用户的身份(参见 When working with most APIs, why do they require two types of authentication, namely a key and a secret?)。
用户名/密码在公共(public) API 中不常使用,因为它们不够灵活并且没有在用户身份和应用程序身份之间提供足够的“分离”。例如。您注册为开发人员以使用 Flickr API 并创建一个使用该 API 的 iPhone 应用程序 - 您真的希望将您的开发人员用户名/密码内置到应用程序中吗?如果您稍后更改密码怎么办?如果您想开发 5 个应用程序并分别跟踪它们的使用情况,并且能够随时关闭任何应用程序而不影响其他应用程序怎么办?
但是,对于您真正只想识别人类用户而不是应用程序的情况(例如,只为您自己的应用程序提供服务的私有(private) API 后端,而不是公共(public) API),在大多数情况下我不会这样做查看您建议的任何错误,即每个请求都通过 HTTPS 的用户名/密码。哦,顺便说一下,auth token 具有“可限制”的额外优势(可以在特定时间过期,可以仅限于某些操作,等等),但显然这只在非常特定的场景中有用。
此外:正如用户“Dan”在上面指出的那样,在设计一个需要在每个请求(或任何请求,即使只是登录请求)中发送用户名/密码的 API 时,请注意您的操作方式.如果您使用浏览器默认支持的技术(例如 HTTP Basic Auth),您将阻止自己将 API 安全地暴露给跨域用户(即很可能您的 API 永远无法直接从浏览器安全调用,即来自 AJAX/Flash/Silverlight 代码)。
这是一个复杂的主题,在这里无法完全解释,但请记住,如果您的 API 依赖于浏览器可以记住的任何安全凭证,然后“静默”注入(inject)每个请求(例如 HTTP Basic Auth, cookies),那么使用任何跨域技术(CORS、JSONP、crossdomain.xml 等)启用对该 API 的跨域访问是不安全的。
关于java - REST 服务上的身份验证 token 有什么意义,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14003334/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象
