Uygulamak RESTful web services güvenli var. Ben zaten Google kullanarak biraz araştırma yaptım ama başka çarem yok.

Seçenekler:

TLS (HTTPS)

• Temel (pc1oad1etter) HTTP
• Özet HTTP
• two-legged OAuth
• a Cookie-based approach
• istemci sertifikası (Tom Ritter ve here)
• İmzalı istekleri HMAC a limited lifetime kullanarak

Daha olası göz önünde seçenekler vardır? OAuth sonra hangi sürümü? Bunun bir önemi var mı? Şimdiye kadar okuduğum kadarıyla taşıyıcı simgeleri (bu imzalar olmadan) OAuth 2.0 insecure gibi görünüyor.

REST based authentication çok ilginç bir makale buldum.

Secure Your REST API... The Right Way

Başka bir, çok güvenli bir yöntem var. İstemci sertifikası. Sunucuları https onlarla temas ne zaman bir SSL Sertifikası mevcut ne kadar biliyoruz? İyi sunucuları istemci söyledikleri kişi olduğunu bilsinler diye bir istemciden bir sertifika talep edebilirsiniz. İstemcilerin sertifikaları oluşturmak ve güvenli bir kanal üzerinden size bunları (tercihen non - trojaned bir USB anahtarı bir anahtar ile odanda gibi) verin.

Yüksertifika ortak anahtarweb sunucusu ve web sunucusu içine istemci sertifikası (ve gerekirse kendi imzalayanın(s) belgesi, kimseden bağlantıları kabul etmezhariçsertifikaları için karşılık gelen özel anahtarı olan insanlar bunu bilir. Hatta tamamen uygulama düzeyi gibi OAuth kimlik doğrulaması (gereksinimlerinize bağlı olarak) atlamak mümkün olabilir yani HTTPS katmanı ile çalışır. Sen-ebilmek soyut bir katman oluşturun ve uzak bir yerel Sertifika Yetki Belgesi ve imza İstekleri istemciler, bu sayede size atlamak 'olun onlara gel ofise' ve 'yük sertifikaları üzerine sunucu' adımları.

Ağrı boyun? Kesinlikle. Her şey için iyi mi? Hayır. Çok güvenli? Evet.

Öyle güveniyor müşteriler tutmak sertifikalarını güvenli ancak (edemezler sonrası kendi özel anahtarları online), ve genelde kullanılan satmak bir hizmet için müşteriler daha sonra yerine icar herkes kayıt ve bağlayın.

Her neyse, çözüm olmayabilir arıyorsun (muhtemelen dürüst olmak değil), ama başka bir seçenek.