经过身份验证的 REST 请求是否始终意味着数据库请求？

发布于 2024-12-27 12:21:54 字数 706 浏览 1 评论 0原文

我正在使用 RESTeasy 框架来开发我的 Web 服务。我已成功设置 BASIC 身份验证，并且现在工作正常。当然，我确实计划在此基础上使用 SSL。

该过程很简单（如果您不知道这是什么，请阅读有关 HTTP 基本身份验证的内容是关于）：

每个请求都会被分析请求标头的方法拦截。
该标头被解码并提取用户名和密码。
然后该方法查询数据库以检查用户名和密码是否匹配。
如果它们与请求继续匹配，如果不匹配，则返回 401 代码。

使用这种方法，由于 REST（以及 HTTP 本身）的无状态性质，每个请求都意味着对数据库的请求。

我的问题是：是否可以不对每个经过身份验证的请求查询数据库？

可能的提示：使用 cookie 的某种机制？

这个问题在技术上是不可知的。

顺便说一句：

我真的觉得关于 REST 身份验证问题的信息很少。这只是 OAuth、OAuth、OAuth...如果我们不想验证第 3 方应用程序，则信息分散在各处，并且没有任何具体示例，例如使用 OAuth。如果您对 REST Web 服务中的身份验证有任何好的建议，我很想听听。

谢谢。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

哭了丶谁疼 2025-01-03 12:21:54

有多种方法可以使用 cookie 实现“Auth Ticket”（google 一下，您可能会找到一些非 OAuth 引用），因此并非每个请求都需要数据库查询。然而，这些通常涉及加密密钥。

我不相信最佳实践应该是将加密密钥存储在源文件中（但这就是教程通常实现它的方式），因此您可能会涉及某种磁盘访问（通过属性文件、密钥库等），即使您不查询数据库。

正如 Perception 所说，将 cookie（状态）添加到无状态系统设计中是一种作弊行为。

回复收藏 0 原文

披肩女神 2025-01-03 12:21:54

使用 memcached 作为数据库的中间层。检查凭据是否已缓存，如果它们继续请求，如果未缓存，则从数据库中提取它们并验证凭据。如果凭据匹配，则缓存它们以供将来请求并继续当前请求。

请记住，访问 memchaced 必须与访问数据库一样安全，因为数据库中存储了密码。这是许多网站使用 OAuth 的原因之一，尤其是 OAuth 2，您可以在其中分发短期访问令牌和长期刷新令牌，后者将在需要时获取新的访问令牌。

回复收藏 0 原文

北座城市 2025-01-03 12:21:54

欢迎来到代表性国家转移安全的世界！您知道，我向 Roy Fielding 发送了一条消息，询问如何创建一个真正安全且真正 RESTful 的服务。他还没有回我。

您的两个选择实际上是基本身份验证（希望使用 SSL，否则有什么意义）或 OAuth。对于我目前参与的所有解决方案，我们都使用 OAuth。虽然它使测试变得复杂，但它非常安全，并且允许我们从我们的服务中创建可外部化的 API。

我建议不要使用 cookie 来存储会话信息。这不仅违反了 REST 的精神，而且还使您的应用程序容易遭受会话劫持。为了加快速度，您可以做的一件事是维护一个包含用户信息的良好二级缓存，这样您的查询实际上不会针对每个传入请求访问数据库。这可以显着提高速度。此策略对于基本身份验证和 Oauth 同样有效。

回复收藏 0 原文

还不是爱你 2025-01-03 12:21:54

如果您与 AppEninge 的 UserService 集成（以及 Google 帐户），那么您可以防止任何查询。 RESTlet 有一个框架附带的超级优雅的验证器：

public class GaeAuthenticator extends Authenticator {
    /**
     * The GAE UserService that provides facilities to check whether a user has
     * authenticated using their Google Account
     */
    private UserService userService = UserServiceFactory.getUserService();

    /**
     * Constructor setting the mode to "required".
     * 
     * @param context
     *            The context.
     * @see #Authenticator(Context)
     */
    public GaeAuthenticator(Context context) {
        super(context);
    }

    /**
     * Constructor using the context's default enroler.
     * 
     * @param context
     *            The context.
     * @param optional
     *            The authentication mode.
     * @see #Authenticator(Context, boolean, Enroler)
     */
    public GaeAuthenticator(Context context, boolean optional) {
        super(context, optional);
    }

    /**
     * Constructor.
     * 
     * @param context
     *            The context.
     * @param optional
     *            The authentication mode.
     * @param enroler
     *            The enroler to invoke upon successful authentication.
     */
    public GaeAuthenticator(Context context, boolean optional, Enroler enroler) {
        super(context, optional, enroler);
    }

    /**
     * Integrates with Google App Engine UserService to redirect
     * non-authenticated users to the GAE login URL. Upon successful login,
     * creates a Restlet User object based values in GAE user object. The GAE
     * "nickname" property gets mapped to the Restlet "firstName" property.
     * 
     * @param request
     *            The request sent.
     * @param response
     *            The response to update.
     * @return True if the authentication succeeded.
     */
    @Override
    protected boolean authenticate(Request request, Response response) {
        ClientInfo info = request.getClientInfo();
        if (info.isAuthenticated()) {
            // The request is already authenticated.
            return true;
        } else if (userService.isUserLoggedIn()) {
            // The user is logged in, create restlet user.
            com.google.appengine.api.users.User gaeUser = userService
                    .getCurrentUser();
            User restletUser = new User(gaeUser.getUserId());
            restletUser.setEmail(gaeUser.getEmail());
            restletUser.setFirstName(gaeUser.getNickname());
            info.setUser(restletUser);
            info.setAuthenticated(true);
            return true;
        } else {
            // The GAE user service says user not logged in, let's redirect him
            // to the login page.
            String loginUrl = userService.createLoginURL(request
                    .getOriginalRef().toString());
            response.redirectTemporary(loginUrl);
            return false;
        }
    }
}

If you integrate with the UserService of AppEninge (and as such with Google accounts), then you can prevent any queries. RESTlet has a super elegant authenticator that comes with the framework :

public class GaeAuthenticator extends Authenticator {
    /**
     * The GAE UserService that provides facilities to check whether a user has
     * authenticated using their Google Account
     */
    private UserService userService = UserServiceFactory.getUserService();

    /**
     * Constructor setting the mode to "required".
     * 
     * @param context
     *            The context.
     * @see #Authenticator(Context)
     */
    public GaeAuthenticator(Context context) {
        super(context);
    }

    /**
     * Constructor using the context's default enroler.
     * 
     * @param context
     *            The context.
     * @param optional
     *            The authentication mode.
     * @see #Authenticator(Context, boolean, Enroler)
     */
    public GaeAuthenticator(Context context, boolean optional) {
        super(context, optional);
    }

    /**
     * Constructor.
     * 
     * @param context
     *            The context.
     * @param optional
     *            The authentication mode.
     * @param enroler
     *            The enroler to invoke upon successful authentication.
     */
    public GaeAuthenticator(Context context, boolean optional, Enroler enroler) {
        super(context, optional, enroler);
    }

    /**
     * Integrates with Google App Engine UserService to redirect
     * non-authenticated users to the GAE login URL. Upon successful login,
     * creates a Restlet User object based values in GAE user object. The GAE
     * "nickname" property gets mapped to the Restlet "firstName" property.
     * 
     * @param request
     *            The request sent.
     * @param response
     *            The response to update.
     * @return True if the authentication succeeded.
     */
    @Override
    protected boolean authenticate(Request request, Response response) {
        ClientInfo info = request.getClientInfo();
        if (info.isAuthenticated()) {
            // The request is already authenticated.
            return true;
        } else if (userService.isUserLoggedIn()) {
            // The user is logged in, create restlet user.
            com.google.appengine.api.users.User gaeUser = userService
                    .getCurrentUser();
            User restletUser = new User(gaeUser.getUserId());
            restletUser.setEmail(gaeUser.getEmail());
            restletUser.setFirstName(gaeUser.getNickname());
            info.setUser(restletUser);
            info.setAuthenticated(true);
            return true;
        } else {
            // The GAE user service says user not logged in, let's redirect him
            // to the login page.
            String loginUrl = userService.createLoginURL(request
                    .getOriginalRef().toString());
            response.redirectTemporary(loginUrl);
            return false;
        }
    }
}

回复收藏 0 原文

×眷恋的温暖 2025-01-03 12:21:54

答案最终是缓存。

在我的特定情况下，我使用 RESTeasy 作为 REST 框架，使用 Google App Engine 作为应用程序服务器。不难发现 GAE 支持内存缓存。

如果您使用 Objectify（您确实应该这样做；它非常棒），那就更简单了。只需使用 @Cached 注释您的实体类。此处对此过程进行了说明。

Objectify 支持会话对象中的另一种缓存。换句话说，只要实例化了您的 Objectify 对象，即使不使用 memcache，它也可以提供您的对象（这很好，因为在 GAE 中存在使用 memcache 的配额，尽管它们比数据存储区便宜）。我强烈建议您阅读 Objectify wiki 中的良好实践。

最后一点，我将考虑使用摘要式身份验证而不是基本。看起来安全多了。密码永远不会通过网络传输这一事实确实让我松了一口气。

我希望这个问题对某人和那些帮助我的人有用：谢谢。 :)