如何在 RESTful 系统中通过 HTTP GET 请求传递授权数据？

Question

这可能是最基本的问题，出于某种原因，但我有点目瞪口呆。我正在设计一个有多个页面的宁静服务。默认情况下单击链接会触发 HTTP GET

现在如何通过 get 请求发送授权数据？它应该是网址的一部分吗？我将被迫创建一个带有加密查询参数的丑陋网址。有什么办法可以避免这种情况吗？

可以这么说，javascript/jquery 中是否有某些东西可以“在幕后”发送这些数据？

在 JQuery 中，$.ajax 方法将用户名、密码 作为参数，以便授权数据可以与 ajax 调用一起发送。对于非 ajax 调用有什么等价的东西，还是我只留下 URL？

采用这种方法的原因：

• 我希望用户能够单击“后退按钮”并返回到上一页。如果我使用授权执行 $.get ，然后使用 $('html').replaceWith(result) ，它将禁用后退按钮，对吗？ （即，不显示任何内容）

这可能应该是 REST 101，但由于某种原因，它让我陷入困境

（仅供参考：技术：Jquery/javascript/Restlet/Freemarker）

（PS：Cookies 作为最后的手段。或者它们是最好的方法？ :)

Answer 1

对于 GET 请求，您只能使用请求标头和请求的查询字符串/URL。您可以使用 HMAC 方法或 OAUTH，其中每个请求都经过“签名”。如果您纯粹在客户端进行此操作，则存在共享秘密不再是秘密的问题。

当然，听起来您已经在使用用户名和密码发出 POST 请求（顺便说一句，我强烈建议您这样做）

如果您想要 HMAC 的实际示例，我相信 Amazon 确实（或曾经）使用 HMAC 与 S3 进行交互，所以周围有很多示例代码。

最终，在不泄露一些“秘密”信息（例如密码或私钥/令牌）的情况下，让 Web 客户端进行无状态身份验证是非常困难的。您可以向用户颁发临时令牌，然后通过验证请求标头（IP 地址等）在令牌生命周期内是否一致来进行备份。如果您要向客户端公开临时令牌，您可能希望您的身份验证机制包含一个唯一的 nonce< /a> 也按请求。

如果您希望 Web 客户端执行请求，那么纯粹的无状态 RESTful 身份验证就很重要，所以我不会将其称为 REST 101 :)