构建从 ajax 前端访问的安全 RESTful Web 服务层的最佳方法API请求

Question

我有一个使用 jboss Resteasy 构建的 jax-rs Web 服务层。所有 Web 服务都会消耗并生成 json 对象。我需要保护这一层来处理来自不同来源的请求。

ws 可以通过 ajax 前端通过基于表单的登录来访问。因此，我需要将用户会话存储在服务器上，并在每个 ws 请求中检查它是否存在。

此外，我想使用某种 HMAC（没有 OAuth）身份验证通过 REST API 公开 Web 服务。

有人知道实现它的解决方案吗？如果有一个可以处理来自两个来源的请求的集中式授权组件，那就太好了。

Answer 1

您可以编写一个基于 JSR-196 的提供程序来为您处理这两个用例，然后为两个端点进行配置。可能需要添加一些鉴别器，以便服务知道如何验证随机请求（例如，可以根据 URL 在提供程序中进行配置）。

Answer 2

我不确定处理这个问题的 100% 最佳方法，但我遇到了类似的问题。如果您发现它适用，我将分享它。 （我不熟悉resteasy）基本上，我们的移动平台插入了现有的REST Web服务。我被要求将移动服务中的一些数据显示到我们具有表单身份验证的 Web 应用程序。

解决方案是获取 FormsAuthentication cookie 并将其添加到您发送到服务的请求的标头中，并且服务将解密该 cookie 以获取发出请求的用户。

这做出了 2 个假设：1. 您的服务和 Web 应用程序都使用相同的加密密钥，2. 一旦您通过 FormsAuth 登录，您的服务就不必再次完全验证用户凭据。因此，该服务基本上只是说“我可以解密令牌吗？这是一个有效的用户吗？”