当前位置：文江博客话题详情

Authentication web-services RESTEasy Java

REST HTTP 身份验证 - 如何进行？

发布于 2024-12-25 12:00:45 字数 1089 浏览 1 评论 0原文

因此，我正在使用 RESTeasy 和 Google App Engine 开发 REST Web 服务。我的问题与 GAE 无关，但我提到它只是为了以防万一。碰巧我自然需要保护我的资源和我自己的用户（而不是谷歌的）。

确保 REST Web 服务的安全似乎是一个非常有争议的主题，或者至少是一个非常“自由”的主题。 REST 并没有在这个问题上强加任何标准。根据我对网络和文献的研究，我认为至少有 3 种方法可能适合我的应用程序：

HTTP Basic（使用 SSL）
HTTP Digest（使用 SSL）
OAuth

OAuth 似乎是最完整的方法。但我认为不需要如此复杂，因为我不需要授权任何第三方应用程序。它是一个仅由我自己的客户端应用程序使用的 Web 服务。

HTTP Basic 和 HTTP Digest 在网络上看起来是最简单的，但事实是我从未使用 RESTeasy 找到它们的具体实现。我找到了此页面和这个在 RESTeasy 的文档中。它们确实非常有趣，但是它们在这个主题上几乎没有提及任何内容（HTTP Basic 或 Digest）。

所以，我在这里问：

如何在 RESTeasy 中使用 HTTP Basic 或 Digest 来保护我的 WebService 的安全？

也许它是如此简单，以至于不值得在文档或其他任何地方提及？另外，如果有人可以向我提供一些有关保护 RESTful Web 服务的见解，这可能会有所帮助。

我选择了正确的方法吗？

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

评论（4）

没有心的人 2025-01-01 12:00:45

保护 REST API 安全的最简单方法是使用基于 SSL 的 HTTP 基本身份验证。由于标头已加密，因此使用摘要没有多大意义。只要您能够保证客户端上密码的安全，这应该会很有用。

回复收藏 0 原文

忆沫 2025-01-01 12:00:45

我已经通过使用 RESTeasy 的拦截器成功地实现了这一点。
基本上，请求是通过使用类似侦听器的类来拦截的。在此类中，我检查请求的 HTTP 标头，然后继续正常的基本身份验证过程。

有用的链接：

http://en.wikipedia.org/wiki/Basic_access_authentication
使用 REST API 在消息标头中传递参数
 http://www.alemoi.com/dev/httpaccess/ （Servlet 部分）

我希望这对任何人都有帮助。

谢谢。

回复收藏 0 原文

聊慰 2025-01-01 12:00:45

使用任何没有 SSL 的身份验证方法时，您肯定会面临安全风险。

但如果您确实使用了 SSL，通常会遇到性能不佳的问题。

Oauth 实际上是一个允许第三方访问您的 Web 服务的解决方案。

由于选择有限，我对当前需要身份验证的Web服务的解决方案使用了SSL+basic的组合

回复收藏 0 原文

鸵鸟症 2025-01-01 12:00:45

您可能会考虑使用 OAuth 2。它比 OAuth 1 简单得多，并且 Facebook 和 Google 正在积极将其用于大型 REST API。

回复收藏 0 原文

~没有更多了~

关于作者

暂无简介

文章

评论

26 人气

关注发私信

相关话题

热门标签

操作系统程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端

推荐作者

尘曦

文章 0 评论 0

在梵高的星空下

文章 0 评论 0

善良天后

文章 0 评论 0

韬韬不绝

文章 0 评论 0

qq_CgiN62

文章 0 评论 0

不美如何

文章 0 评论 0

友情链接

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。

原文