具有额外身份验证的 HTTP DELETE 请求

Question

我正在寻找以下问题的解决方案，但到目前为止没有成功：我正在计划一个 RESTful Web 服务，其中某些操作（例如删除）应该需要特殊的身份验证。

这个想法是，用户有一个正常的用户名/密码登录（基于会话或基本身份验证，在这里并不重要），使用它可以访问服务。某些操作需要 PIN 码甚至一次性密码形式的额外身份验证。在登录过程中包含额外的身份验证部分是不可能的（并且会错过整个练习的重点）。

我考虑过特殊的标头（例如 X-OTP-Authetication），但这将导致无法通过标准 HTML 页面访问服务（无法在链接中包含自定义标头）。 另一种选择是 HTTP 查询参数，但似乎不鼓励这样做，尤其是对于 DELETE。

有什么想法如何解决这个问题吗？

Answer 1

来自 使用 jQuery 前端实现 REST Web 服务安全

如果您还没有阅读过，我建议您阅读一些有关 OAuth 1.0 和 2.0。它们都被一些较大的 API 使用，例如 Facebook、Netflix、Twitter 等。 2.0 仍处于草案阶段，但这并没有阻止任何人实现和使用它，因为它对客户端来说使用起来更简单。听起来您想要更复杂、更安全的东西，所以您可能想专注于 1.0。

我总是发现 Netflix 的身份验证概述对客户来说是一个很好的解释。< /p>