如何为HTTP/REST服务提供简单可靠的授权验证?
已有若干个相互独立的现成的http服务器程序,都无需验证可以直接访问,根据客户端的http请求返回相应的json数据,REST风格。有些服务运行在同一台机器上,有些运行在同一个局域网的不同电脑上,有些运行在不同的公网IP上。
现在想在不修改现有http服务器程序的情况下,额外想办法增加安全机制,就是请求必须得到授权。但有没必要过于复杂,最好简单搞定,可以轻松应用到所有服务上。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(11)
不要四处推销你的框架了, 楼主的意思是服务器程序无改动才行
点击此处输入评论
哈哈,Im sorry
服务器端 session自定义安全设计 极简restful框架 https://github.com/Dreampie/resty 里 resty-security 安全设计 和shiro类似
引用来自“Black_JackQ”的评论
通过nginx做一次处理,比如url里有key=acceptxxx的可以访问服务。
通过nginx做一次处理,比如url里有key=acceptxxx的可以访问服务。
参数签名,消息摘要,公私钥 ?
带key的比较多 微信接口还有第三方支付都是key加密处理的把
不好搞,这个肯定要修改程序
oauth是主流解决方案
当然你也可以试试简单http认证,不过这个安全性比较差。
不修改现有程序是不可能的